CrowdStrike：2021年針對Linux發行版本的惡意軟體數量同比增加35%

與 2020 年相比，Mozi 在 2021 年的野外樣本數量大幅增加了 10 倍。這些惡意軟體家族的主要目的是破壞脆弱的網際網路連線裝置，將它們聚整合殭屍網路，並利用它們來進行分散式拒絕服務（DDoS）攻擊。

當今大多數的雲基礎設施和網路伺服器都執行 Linux，但它也為移動和物聯網裝置提供動力。它之所以受歡迎，是因為它提供了可擴充套件性、安全功能和廣泛的發行版，以支援多種硬體設計和在任何硬體要求上的巨大效能。

隨著各種 Linux 構建和分佈在雲基礎設施、移動和物聯網的核心，它為威脅者提供了一個巨大的機會。例如，無論是使用硬編碼憑證、開放埠還是未修補的漏洞，執行Linux的物聯網裝置對威脅者來說都是一個低風險的果實–它們的大規模破壞會威脅到關鍵網際網路服務的完整性。預計到2025年底，將有超過300億臺物聯網裝置連線到網際網路，為威脅和網路犯罪分子創造一個潛在的巨大攻擊面，以建立大規模的殭屍網路。

殭屍網路是一個連線到遠端指揮和控制（C2）中心的受損裝置網路。它在更大的網路中發揮著小齒輪的作用，並能感染其他裝置。殭屍網路經常被用於DDoS攻擊，向目標傳送垃圾郵件，獲得遠端控制，並進行加密等CPU密集型活動。DDoS攻擊使用多個連線網際網路的裝置來訪問一個特定的服務或閘道器，通過消耗整個頻寬來阻止合法流量的通過，導致其崩潰。

● XorDDoS

XorDDoS是一個為多種Linux架構編譯的Linux木馬，範圍從ARM到x86和x64。它的名字來自於在惡意軟體和網路通訊中使用XOR加密到C2基礎設施。當針對物聯網裝置時，該木馬已知會使用SSH暴力攻擊來獲得對脆弱裝置的遠端控制。

在 Linux 機器上，XorDDoS 的一些變種顯示，其操作者掃描和搜尋Docker伺服器，並開啟2375埠。這個埠提供了一個未加密的Docker套接字和對主機的遠端root無密碼訪問，攻擊者可以濫用它來獲得對機器的root訪問。

● Mozi

Mozi 是一個點對點（P2P）殭屍網路，利用分散式雜湊表（DHT）系統，實施自己的擴充套件DHT。DHT提供的分散式和去中心化的查詢機制使Mozi能夠將C2通訊隱藏在大量合法的DHT流量後面。Mozi通過強加SSH和Telnet埠來感染系統。然後它封鎖這些埠，以便不被其他惡意行為者或惡意軟體覆蓋。

● Mirai

Mirai 惡意軟體在過去幾年中聲名鵲起，特別是在其開發者公佈了 Mirai 的原始碼之後。與Mozi類似，Mirai濫用弱協議和弱密碼，如Telnet，利用暴力攻擊入侵裝置。

自從Mirai的原始碼公開後，出現了多個Mirai變種，這個Linux木馬可以被認為是當今許多Linux DDoS惡意軟體的共同祖先。雖然大多數變種在現有的Mirai功能上進行了補充，或實現了不同的通訊協議，但在其核心部分，它們共享相同的Mirai DNA。