,,

去年針對(duì)Linux發(fā)行版本的惡意軟件數(shù)量同比增加35%

2022-01-17 13:42:29 來源：cnBeta.COM

根據(jù) CrowdStrike 的威脅遙測(cè)數(shù)據(jù)，在 2021 年針對(duì) Linux 發(fā)行版本（被物聯(lián)網(wǎng)設(shè)備廣泛部署）的惡意軟件數(shù)量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 這前三個(gè)惡意軟件家族在 2021 年占所有基于 Linux 的 IoT 惡意軟件的 22%。

訪問：

微軟Surface精選機(jī)型特惠6.3折起翻新機(jī)滿100減100

與 2020 年相比，Mozi 在 2021 年的野外樣本數(shù)量大幅增加了 10 倍。這些惡意軟件家族的主要目的是破壞脆弱的互聯(lián)網(wǎng)連接設(shè)備，將它們聚集成僵尸網(wǎng)絡(luò)，并利用它們來進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊。

當(dāng)今大多數(shù)的云基礎(chǔ)設(shè)施和網(wǎng)絡(luò)服務(wù)器都運(yùn)行 Linux，但它也為移動(dòng)和物聯(lián)網(wǎng)設(shè)備提供動(dòng)力。它之所以受歡迎，是因?yàn)樗峁┝丝蓴U(kuò)展性、安全功能和廣泛的發(fā)行版，以支持多種硬件設(shè)計(jì)和在任何硬件要求上的巨大性能。

隨著各種 Linux 構(gòu)建和分布在云基礎(chǔ)設(shè)施、移動(dòng)和物聯(lián)網(wǎng)的核心，它為威脅者提供了一個(gè)巨大的機(jī)會(huì)。例如，無論是使用硬編碼憑證、開放端口還是未修補(bǔ)的漏洞，運(yùn)行Linux的物聯(lián)網(wǎng)設(shè)備對(duì)威脅者來說都是一個(gè)低風(fēng)險(xiǎn)的果實(shí)--它們的大規(guī)模破壞會(huì)威脅到關(guān)鍵互聯(lián)網(wǎng)服務(wù)的完整性。預(yù)計(jì)到2025年底，將有超過300億臺(tái)物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，為威脅和網(wǎng)絡(luò)犯罪分子創(chuàng)造一個(gè)潛在的巨大攻擊面，以創(chuàng)建大規(guī)模的僵尸網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)是一個(gè)連接到遠(yuǎn)程指揮和控制（C2）中心的受損設(shè)備網(wǎng)絡(luò)。它在更大的網(wǎng)絡(luò)中發(fā)揮著小齒輪的作用，并能感染其他設(shè)備。僵尸網(wǎng)絡(luò)經(jīng)常被用于DDoS攻擊，向目標(biāo)發(fā)送垃圾郵件，獲得遠(yuǎn)程控制，并進(jìn)行加密等CPU密集型活動(dòng)。DDoS攻擊使用多個(gè)連接互聯(lián)網(wǎng)的設(shè)備來訪問一個(gè)特定的服務(wù)或網(wǎng)關(guān)，通過消耗整個(gè)帶寬來阻止合法流量的通過，導(dǎo)致其崩潰。

● XorDDoS

XorDDoS是一個(gè)為多種Linux架構(gòu)編譯的Linux木馬，范圍從ARM到x86和x64。它的名字來自于在惡意軟件和網(wǎng)絡(luò)通信中使用XOR加密到C2基礎(chǔ)設(shè)施。當(dāng)針對(duì)物聯(lián)網(wǎng)設(shè)備時(shí)，該木馬已知會(huì)使用SSH暴力攻擊來獲得對(duì)脆弱設(shè)備的遠(yuǎn)程控制。

在 Linux 機(jī)器上，XorDDoS 的一些變種顯示，其操作者掃描和搜索Docker服務(wù)器，并打開2375端口。這個(gè)端口提供了一個(gè)未加密的Docker套接字和對(duì)主機(jī)的遠(yuǎn)程root無密碼訪問，攻擊者可以濫用它來獲得對(duì)機(jī)器的root訪問。

● Mozi

Mozi 是一個(gè)點(diǎn)對(duì)點(diǎn)（P2P）僵尸網(wǎng)絡(luò)，利用分布式哈希表（DHT）系統(tǒng)，實(shí)施自己的擴(kuò)展DHT。DHT提供的分布式和去中心化的查找機(jī)制使Mozi能夠?qū)2通信隱藏在大量合法的DHT流量后面。Mozi通過強(qiáng)加SSH和Telnet端口來感染系統(tǒng)。然后它封鎖這些端口，以便不被其他惡意行為者或惡意軟件覆蓋。

● Mirai

Mirai 惡意軟件在過去幾年中聲名鵲起，特別是在其開發(fā)者公布了 Mirai 的源代碼之后。與Mozi類似，Mirai濫用弱協(xié)議和弱密碼，如Telnet，利用暴力攻擊入侵設(shè)備。

自從Mirai的源代碼公開后，出現(xiàn)了多個(gè)Mirai變種，這個(gè)Linux木馬可以被認(rèn)為是當(dāng)今許多Linux DDoS惡意軟件的共同祖先。雖然大多數(shù)變種在現(xiàn)有的Mirai功能上進(jìn)行了補(bǔ)充，或?qū)崿F(xiàn)了不同的通信協(xié)議，但在其核心部分，它們共享相同的Mirai DNA。

關(guān)鍵詞：安全去年針對(duì)Linux發(fā)行版本的惡意軟件數(shù)量同比增加35% cnBeta