根據 CrowdStrike 的威脅遙測資料
,在 2021 年針對 Linux 發行版本(被物聯網裝置廣泛部署)的惡意軟體數量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 這前三個惡意軟體家族在 2021 年占所有基于 Linux 的 IoT 惡意軟體的 22%。
與 2020 年相比,Mozi 在 2021 年的野外樣本數量大幅增加了 10 倍。這些惡意軟體家族的主要目的是破壞脆弱的網際網路連接配接裝置,将它們聚內建僵屍網絡,并利用它們來進行分布式拒絕服務(DDoS)攻擊。
當今大多數的雲基礎設施和網絡伺服器都運作 Linux,但它也為移動和物聯網裝置提供動力。它之是以受歡迎,是因為它提供了可擴充性、安全功能和廣泛的發行版,以支援多種硬體設計和在任何硬體要求上的巨大性能。
随着各種 Linux 建構和分布在雲基礎設施、移動和物聯網的核心,它為威脅者提供了一個巨大的機會。例如,無論是使用寫死憑證、開放端口還是未修補的漏洞,運作Linux的物聯網裝置對威脅者來說都是一個低風險的果實--它們的大規模破壞會威脅到關鍵網際網路服務的完整性。預計到2025年底,将有超過300億台物聯網裝置連接配接到網際網路,為威脅和網絡犯罪分子創造一個潛在的巨大攻擊面,以建立大規模的僵屍網絡。
僵屍網絡是一個連接配接到遠端指揮和控制(C2)中心的受損裝置網絡。它在更大的網絡中發揮着小齒輪的作用,并能感染其他裝置。僵屍網絡經常被用于DDoS攻擊,向目标發送垃圾郵件,獲得遠端控制,并進行加密等CPU密集型活動。DDoS攻擊使用多個連接配接網際網路的裝置來通路一個特定的服務或網關,通過消耗整個帶寬來阻止合法流量的通過,導緻其崩潰。
● XorDDoS
XorDDoS是一個為多種Linux架構編譯的Linux木馬,範圍從ARM到x86和x64。它的名字來自于在惡意軟體和網絡通信中使用XOR加密到C2基礎設施。當針對物聯網裝置時,該木馬已知會使用SSH暴力攻擊來獲得對脆弱裝置的遠端控制。
在 Linux 機器上,XorDDoS 的一些變種顯示,其操作者掃描和搜尋Docker伺服器,并打開2375端口。這個端口提供了一個未加密的Docker套接字和對主機的遠端root無密碼通路,攻擊者可以濫用它來獲得對機器的root通路。
● Mozi
Mozi 是一個點對點(P2P)僵屍網絡,利用分布式哈希表(DHT)系統,實施自己的擴充DHT。DHT提供的分布式和去中心化的查找機制使Mozi能夠将C2通信隐藏在大量合法的DHT流量後面。Mozi通過強加SSH和Telnet端口來感染系統。然後它封鎖這些端口,以便不被其他惡意行為者或惡意軟體覆寫。
● Mirai
Mirai 惡意軟體在過去幾年中聲名鵲起,特别是在其開發者公布了 Mirai 的源代碼之後。與Mozi類似,Mirai濫用弱協定和弱密碼,如Telnet,利用暴力攻擊入侵裝置。
自從Mirai的源代碼公開後,出現了多個Mirai變種,這個Linux木馬可以被認為是當今許多Linux DDoS惡意軟體的共同祖先。雖然大多數變種在現有的Mirai功能上進行了補充,或實作了不同的通信協定,但在其核心部分,它們共享相同的Mirai DNA。