共计 1534 个字符,预计需要花费 4 分钟才能阅读完成。
近日,平安公司 CrowdStrike 颁布的一份报告显示:在刚刚过来的 2021 年里,针对 Linux 操作系统(通常部署在物联网设施中)的恶意软件暴增了 35%。其中,XorDDoS、Mirai 和 Mozi 这三个恶意软件“家族”占所有基于 Linux 零碎 IoT 里恶意软件的 22%。
2021 年:新增 35% 的恶意软件瞄准 Linux 零碎
在 2021 年里,XorDDoS、MiaI 和 Mozi 作为基于 Linux 的恶意软件相比 2020 年暴涨了 35%。这些恶意软件样本中,相比 2020 年,XorDDoS 恶意软件样本减少了 123%,Mozi 的数量也比上一年减少了 10 倍。
据悉,这些恶意软件的次要目标是危害易受攻击的互联网连贯设施,将其聚合为“僵尸网络”,并利用它们进行分布式拒绝服务(DDoS)攻打。
恶意软件之一的 XorDDoS 是一种 Linux 特洛伊木马,其名字源于在恶意软件和网络通信中对 C2 基础设施应用 XOR 加密。该软件针对从 ARM 到 x86 和 x64 的各种 Linux 体系结构进行编译。针对物联网设施时,已知特洛伊木马会应用 SSH 暴力攻打近程管制易受攻击的设施。
在 Linux 机器上,XorDDoS 的一些变体显示,其运营商在 2375 端口关上的状况下扫描和搜寻 Docker 服务器。该端口提供未加密的 Docker 套接字和对主机的近程根无明码拜访,攻击者能够利用该端口取得对计算机的根拜访。
Mirai 恶意软件在其开发者公布 Mirai 源码之后迅速风行了起来,并呈现了多个 Mirai 变体。与 Mozi 相似,Mirai 滥用弱协定和弱明码(例如 Telnet)通过暴力破解攻打来毁坏设施。
此前,CrowdStrike 钻研人员追踪到的一些最常见的变种包含 Sora、IZIH9 和 Rekai。与 2020 年相比,2021 年里样本中三个变异样本的数量别离减少了 33%、39% 和 83%。此次 Linux 木马的外围局部,也共享了雷同的 Mirai DNA。
Mozi 是一个点对点(P2P)僵尸网络,它应用分布式哈希表(DHT)零碎来实现本人的扩大 DHT。DHT 提供的分布式扩散查找机制容许 Mozi 将 C2 流量暗藏在大量非法 DHT 流量前面,DHT 容许 Mozi 疾速倒退 P2P 网络。此外,因为它应用 DHT 上的一个扩大,与失常流量无关,因而更难检测 C2 流量。
基于 Linux 和 IoT 的恶意软件“泛滥”
作为当今大多数云基础设施 和 web 服务器的能源提供者,Linux 同样也在为挪动和物联网设施(IoT)提供能源。凭借其可扩展性、平安性能和宽泛的发行版等劣势,Linux 反对多种硬件设计,并在任何硬件需要上都具备杰出的性能。
因为各种 Linux 构建和发行版本处于云基础设施、挪动和物联网的外围,因而也为网络威逼者提供了微小的机会。例如,无论是应用硬编码凭证、凋谢端口还是未修补的破绽,运行 Linux 的物联网设施对威逼参与者来说都不太容易实现,而它们的整体危害却可能会威逼到要害互联网服务的完整性。
预计到 2025 年底,将有 300 多亿台物联网设施连贯到互联网,为网络威逼者和网络犯罪分子制作了大规模“僵尸网络”发明一个潜在的微小攻击面。
“僵尸网络”是连贯到近程指挥与管制(C2)核心的受损设施网络,它在更大的网络中充当一个小齿轮,并可能感化其余设施。“僵尸网络”通常用于 DDoS 攻打、滥发指标、取得近程管制及执行加密开掘等 CPU 密集型流动。DDoS 攻打应用多个连贯到 internet 的设施拜访特定的服务或网关,通过耗费整个带宽阻止非法流量通过,从而导致其解体。
产生在 2016 年的“Mirai 僵尸网络”事件就揭示了人们,大量看似良性的设施执行 DDoS 攻打可能会中断要害互联网服务,影响组织和普通用户。而现在,这些泛滥的恶意软件,或将成为以后 Linux 面临的最大威逼。
