根據 CrowdStrike 的威脅遙測數據,在 2021 年針對 Linux 發行版本(被物聯網設備廣泛部署)的惡意軟件數量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 這前三個惡意軟件家族在 2021 年占所有基於 Linux 的 IoT 惡意軟件的 22%。
與 2020 年相比,Mozi 在 2021 年的野外樣本數量大幅增加了 10 倍。這些惡意軟件家族的主要目的是破壞脆弱的互聯網連接設備,將它們聚集成殭屍網絡,並利用它們來進行分佈式拒絕服務(DDoS)攻擊。
當今大多數的雲基礎設施和網絡服務器都運行 Linux,但它也為移動和物聯網設備提供動力。它之所以受歡迎,是因為它提供了可擴展性、安全功能和廣泛的發行版,以支持多種硬件設計和在任何硬件要求上的巨大性能。
隨着各種 Linux 構建和分佈在雲基礎設施、移動和物聯網的核心,它為威脅者提供了一個巨大的機會。例如,無論是使用硬編碼憑證、開放端口還是未修補的漏洞,運行Linux的物聯網設備對威脅者來說都是一個低風險的果實–它們的大規模破壞會威脅到關鍵互聯網服務的完整性。預計到2025年底,將有超過300億台物聯網設備連接到互聯網,為威脅和網絡犯罪分子創造一個潛在的巨大攻擊面,以創建大規模的殭屍網絡。
殭屍網絡是一個連接到遠程指揮和控制(C2)中心的受損設備網絡。它在更大的網絡中發揮着小齒輪的作用,並能感染其他設備。殭屍網絡經常被用於DDoS攻擊,向目標發送垃圾郵件,獲得遠程控制,並進行加密等CPU密集型活動。DDoS攻擊使用多個連接互聯網的設備來訪問一個特定的服務或網關,通過消耗整個帶寬來阻止合法流量的通過,導致其崩潰。
● XorDDoS
XorDDoS是一個為多種Linux架構編譯的Linux木馬,範圍從ARM到x86和x64。它的名字來自於在惡意軟件和網絡通信中使用XOR加密到C2基礎設施。當針對物聯網設備時,該木馬已知會使用SSH暴力攻擊來獲得對脆弱設備的遠程控制。
在 Linux 機器上,XorDDoS 的一些變種顯示,其操作者掃描和搜索Docker服務器,並打開2375端口。這個端口提供了一個未加密的Docker套接字和對主機的遠程root無密碼訪問,攻擊者可以濫用它來獲得對機器的root訪問。
● Mozi
Mozi 是一個點對點(P2P)殭屍網絡,利用分佈式哈希表(DHT)系統,實施自己的擴展DHT。DHT提供的分佈式和去中心化的查找機制使Mozi能夠將C2通信隱藏在大量合法的DHT流量後面。Mozi通過強加SSH和Telnet端口來感染系統。然後它封鎖這些端口,以便不被其他惡意行為者或惡意軟件覆蓋。
● Mirai
Mirai 惡意軟件在過去幾年中聲名鵲起,特別是在其開發者公布了 Mirai 的源代碼之後。與Mozi類似,Mirai濫用弱協議和弱密碼,如Telnet,利用暴力攻擊入侵設備。
自從Mirai的源代碼公開后,出現了多個Mirai變種,這個Linux木馬可以被認為是當今許多Linux DDoS惡意軟件的共同祖先。雖然大多數變種在現有的Mirai功能上進行了補充,或實現了不同的通信協議,但在其核心部分,它們共享相同的Mirai DNA。
