近日,安全公司 CrowdStrike 公布的一份报告显示:在刚刚过去的 2021 年里,针对 Linux 操作系统(通常部署在物联网设备中)的恶意软件暴增了 35%。其中,XorDDoS、Mirai 和 Mozi 这三个恶意软件“家族”占所有基于 Linux 系统 IoT 里恶意软件的 22%。
2021年:新增 35% 的恶意软件瞄准 Linux 系统
在 2021年里,XorDDoS、MiaI 和 Mozi 作为基于 Linux 的恶意软件相比2020年暴涨了 35%。这些恶意软件样本中,相比 2020 年,XorDDoS 恶意软件样本增加了 123%,Mozi 的数量也比上一年增加了 10倍。
据悉,这些恶意软件的主要目的是危害易受攻击的互联网连接设备,将其聚合为“僵尸网络”,并利用它们进行分布式拒绝服务(DDoS)攻击。
恶意软件之一的 XorDDoS 是一种 Linux 特洛伊木马,其名字源于在恶意软件和网络通信中对 C2 基础设施使用 XOR 加密。该软件针对从 ARM 到 x86 和 x64 的各种 Linux 体系结构进行编译。针对物联网设备时,已知特洛伊木马会使用 SSH 暴力攻击远程控制易受攻击的设备。
在 Linux 机器上,XorDDoS 的一些变体显示,其运营商在 2375 端口打开的情况下扫描和搜索 Docker 服务器。该端口提供未加密的 Docker 套接字和对主机的远程根无密码访问,攻击者可以利用该端口获得对计算机的根访问。
Mirai 恶意软件在其开发者发布 Mirai 源码之后迅速流行了起来,并出现了多个 Mirai 变体。与 Mozi 类似,Mirai 滥用弱协议和弱密码(例如 Telnet)通过暴力破解攻击来破坏设备。
此前,CrowdStrike 研究人员追踪到的一些最常见的变种包括 Sora、IZIH9 和Rekai。与 2020 年相比,2021 年里样本中三个变异样本的数量分别增加了 33%、39% 和 83% 。此次 Linux 木马的核心部分,也共享了相同的 Mirai DNA。
Mozi 是一个点对点(P2P)僵尸网络,它使用分布式哈希表(DHT)系统来实现自己的扩展 DHT。DHT 提供的分布式分散查找机制允许 Mozi 将 C2 流量隐藏在大量合法 DHT 流量后面,DHT 允许 Mozi 快速发展 P2P网络。此外,由于它使用DHT 上的一个扩展,与正常流量无关,因此更难检测 C2 流量。
基于 Linux 和 IoT 的恶意软件“泛滥”
作为当今大多数云基础设施 和 web 服务器的动力提供者,Linux 同样也在为移动和物联网设备(IoT)提供动力。凭借其可扩展性、安全功能和广泛的发行版等优势,Linux 支持多种硬件设计,并在任何硬件需求上都具有出色的性能。
由于各种 Linux 构建和发行版本处于云基础设施、移动和物联网的核心,因此也为网络威胁者提供了巨大的机会。例如,无论是使用硬编码凭证、开放端口还是未修补的漏洞,运行 Linux 的物联网设备对威胁参与者来说都不太容易实现,而它们的整体危害却可能会威胁到关键互联网服务的完整性。
预计到 2025 年底,将有 300 多亿台物联网设备连接到互联网,为网络威胁者和网络犯罪分子制造了大规模“僵尸网络”创造一个潜在的巨大攻击面。
“僵尸网络”是连接到远程指挥与控制(C2)中心的受损设备网络,它在更大的网络中充当一个小齿轮,并可能感染其他设备。“僵尸网络”通常用于 DDoS 攻击、滥发目标、获得远程控制及执行加密挖掘等 CPU 密集型活动。DDoS 攻击使用多个连接到 internet 的设备访问特定的服务或网关,通过消耗整个带宽阻止合法流量通过,从而导致其崩溃。
发生在 2016 年的“ Mirai僵尸网络”事件就提醒了人们,大量看似良性的设备执行 DDoS 攻击可能会中断关键互联网服务,影响组织和普通用户。而如今,这些泛滥的恶意软件,或将成为当前 Linux 面临的最大威胁。
