根據 CrowdStrike 的威脅遙測資料,在 2021 年針對 Linux 發行版本(被物聯網裝置廣泛部署)的惡意軟體數量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 這前三個惡意軟體家族在 2021 年佔所有基於 Linux 的 IoT 惡意軟體的 22%。

與 2020 年相比,Mozi 在 2021 年的野外樣本數量大幅增加了 10 倍。這些惡意軟體家族的主要目的是破壞脆弱的網際網路連線裝置,將它們聚整合殭屍網路,並利用它們來進行分散式拒絕服務(DDoS)攻擊。

當今大多數的雲基礎設施和網路伺服器都執行 Linux,但它也為移動和物聯網裝置提供動力。它之所以受歡迎,是因為它提供了可擴充套件性、安全功能和廣泛的發行版,以支援多種硬體設計和在任何硬體要求上的巨大效能。

隨著各種 Linux 構建和分佈在雲基礎設施、移動和物聯網的核心,它為威脅者提供了一個巨大的機會。例如,無論是使用硬編碼憑證、開放埠還是未修補的漏洞,執行Linux的物聯網裝置對威脅者來說都是一個低風險的果實–它們的大規模破壞會威脅到關鍵網際網路服務的完整性。預計到2025年底,將有超過300億臺物聯網裝置連線到網際網路,為威脅和網路犯罪分子創造一個潛在的巨大攻擊面,以建立大規模的殭屍網路。

殭屍網路是一個連線到遠端指揮和控制(C2)中心的受損裝置網路。它在更大的網路中發揮著小齒輪的作用,並能感染其他裝置。殭屍網路經常被用於DDoS攻擊,向目標傳送垃圾郵件,獲得遠端控制,並進行加密等CPU密集型活動。DDoS攻擊使用多個連線網際網路的裝置來訪問一個特定的服務或閘道器,通過消耗整個頻寬來阻止合法流量的通過,導致其崩潰。

● XorDDoS

XorDDoS是一個為多種Linux架構編譯的Linux木馬,範圍從ARM到x86和x64。它的名字來自於在惡意軟體和網路通訊中使用XOR加密到C2基礎設施。當針對物聯網裝置時,該木馬已知會使用SSH暴力攻擊來獲得對脆弱裝置的遠端控制。

在 Linux 機器上,XorDDoS 的一些變種顯示,其操作者掃描和搜尋Docker伺服器,並開啟2375埠。這個埠提供了一個未加密的Docker套接字和對主機的遠端root無密碼訪問,攻擊者可以濫用它來獲得對機器的root訪問。

● Mozi

Mozi 是一個點對點(P2P)殭屍網路,利用分散式雜湊表(DHT)系統,實施自己的擴充套件DHT。DHT提供的分散式和去中心化的查詢機制使Mozi能夠將C2通訊隱藏在大量合法的DHT流量後面。Mozi通過強加SSH和Telnet埠來感染系統。然後它封鎖這些埠,以便不被其他惡意行為者或惡意軟體覆蓋。

● Mirai

Mirai 惡意軟體在過去幾年中聲名鵲起,特別是在其開發者公佈了 Mirai 的原始碼之後。與Mozi類似,Mirai濫用弱協議和弱密碼,如Telnet,利用暴力攻擊入侵裝置。

自從Mirai的原始碼公開後,出現了多個Mirai變種,這個Linux木馬可以被認為是當今許多Linux DDoS惡意軟體的共同祖先。雖然大多數變種在現有的Mirai功能上進行了補充,或實現了不同的通訊協議,但在其核心部分,它們共享相同的Mirai DNA。

自 cnbeta