根据 CrowdStrike 的威胁遥测数据,在 2021 年针对 Linux 发行版本(被物联网设备广泛部署)的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。
与 2020 年相比,Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。
当今大多数的云基础设施和网络服务器都运行 Linux,但它也为移动和物联网设备提供动力。它之所以受欢迎,是因为它提供了可扩展性、安全功能和广泛的发行版,以支持多种硬件设计和在任何硬件要求上的巨大性能。
随着各种 Linux 构建和分布在云基础设施、移动和物联网的核心,它为威胁者提供了一个巨大的机会。例如,无论是使用硬编码凭证、开放端口还是未修补的漏洞,运行Linux的物联网设备对威胁者来说都是一个低风险的果实–它们的大规模破坏会威胁到关键互联网服务的完整性。预计到2025年底,将有超过300亿台物联网设备连接到互联网,为威胁和网络犯罪分子创造一个潜在的巨大攻击面,以创建大规模的僵尸网络。
僵尸网络是一个连接到远程指挥和控制(C2)中心的受损设备网络。它在更大的网络中发挥着小齿轮的作用,并能感染其他设备。僵尸网络经常被用于DDoS攻击,向目标发送垃圾邮件,获得远程控制,并进行加密等CPU密集型活动。DDoS攻击使用多个连接互联网的设备来访问一个特定的服务或网关,通过消耗整个带宽来阻止合法流量的通过,导致其崩溃。
● XorDDoS
XorDDoS是一个为多种Linux架构编译的Linux木马,范围从ARM到x86和x64。它的名字来自于在恶意软件和网络通信中使用XOR加密到C2基础设施。当针对物联网设备时,该木马已知会使用SSH暴力攻击来获得对脆弱设备的远程控制。
在 Linux 机器上,XorDDoS 的一些变种显示,其操作者扫描和搜索Docker服务器,并打开2375端口。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问,攻击者可以滥用它来获得对机器的root访问。
● Mozi
Mozi 是一个点对点(P2P)僵尸网络,利用分布式哈希表(DHT)系统,实施自己的扩展DHT。DHT提供的分布式和去中心化的查找机制使Mozi能够将C2通信隐藏在大量合法的DHT流量后面。Mozi通过强加SSH和Telnet端口来感染系统。然后它封锁这些端口,以便不被其他恶意行为者或恶意软件覆盖。
● Mirai
Mirai 恶意软件在过去几年中声名鹊起,特别是在其开发者公布了 Mirai 的源代码之后。与Mozi类似,Mirai滥用弱协议和弱密码,如Telnet,利用暴力攻击入侵设备。
自从Mirai的源代码公开后,出现了多个Mirai变种,这个Linux木马可以被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变种在现有的Mirai功能上进行了补充,或实现了不同的通信协议,但在其核心部分,它们共享相同的Mirai DNA。
自 cnbeta