导读:基于 Linux 的系统已经无处不在,它是互联网基础设施的核心部分,低功耗的物联网 (IoT) 设备已成 Linux 恶意软件的主要目标。
随着数十亿联网设备(如汽车、冰箱和底能耗网络设备)在线,物联网设备已成为一些恶意软件活动的主要目标——即分布式拒绝服务 (DDoS) 攻击,其中垃圾流量旨在淹没目标并使其脱机。
安全供应商 CrowdStrike在一份新报告中表示,2021 年最流行的基于 Linux 的恶意软件系列是 XorDDoS、Mirai 和 Mozi,它们占当年所有基于 Linux 的物联网恶意软件总量的 22%。这些也是针对所有基于 Linux 的系统的恶意软件的主要来源。
与 2020 年相比,2021 年的恶意软件增长了 35%。
基于 Linux 的物联网恶意软件
Linux 为当今大多数云基础设施和 Web 服务器提供支持,也为移动和物联网设备提供支持。Linux 受欢迎的原因,主要因为它提供了可扩展性、安全功能和为数众多的发行版,它支持多种硬件架构,并且在苛刻或较低硬件的情况仍能保持出色性能。
在云基础设施、移动和物联网中,各种 Linux 发行版为威胁参与者提供了目标。无论是使用硬编码认证、开放端口还是未修补的漏洞,运行 Linux 的物联网设备对于威胁者都能拿着到—然后利用它们进行大规模入侵,甚至会威胁到关键互联网服务的完整性。
预计到 2025 年底,将有超过 300 亿台物联网设备连接到互联网,而这些也为网络犯罪分子创建大规模僵尸网络创造了潜在机会。
僵尸网络指的是被远程命令和控制 (C2) 中心的受感染网络。它在更大的网络中充当一个小齿轮,并且可以感染其它设备。僵尸网络通常用于 DDoS 攻击、向目标主机发送垃圾邮件、获得远程控制和执行 CPU 密集型活动,如区块链加密货币挖矿。DDoS 攻击使用多个连接互联网的设备访问特定的服务或网关,通过消耗整个带宽来阻止合法流量通过,导致其系统崩溃。
2016 Mirai 僵尸网络事件提醒开发者和运维人员,大量看似良性的设备执行 DDoS 攻击会破坏关键的互联网服务,高度影响组织机构与用户。
当下的 Linux 面临的主要威胁
分析当前的 Linux 威胁形势,XorDDoS、Mirai 和 Mozi 恶意软件家族和变种已成为 2021 年最多产的恶意软件,占所有针对物联网 Linux 的恶意软件的 22% 以上。
XorDDoS:恶意软件样本增加 123%
XorDDoS 是针对多种 Linux 架构编译的 Linux 木马,从 ARM 到 x86 和 x64均有。它的名字来源于在恶意软件和与 C2 基础设施的网络通信中,它使用XOR 加密。
在以物联网设备为目标时,该木马会使用 SSH 暴力攻击继而远程控制受攻击的设备。
图 1 受攻击的 Docker 机器
在 Linux 机器上,XorDDoS 的一些变种会其扫描管理员帐号并搜索打开 2375 端口的 Docker 服务器。这个端口提供了一个未加密的 Docker Socket和 root 无密码的访问帐号,攻击者可以用它来获得对机器的管理权限。
CrowdStrike 指出,2021 年 XorDDoS 恶意软件样本的数量比上年增加了近 123%。
图 2 Linux XorDDoS 恶意样本的 Falcon 检测
Mozi:2021 年爆发比上年多 10 倍
Mozi 是一个点对点 (P2P) 僵尸网络,它利用分布式哈希表 (DHT) 系统,实现自己的扩展 DHT。DHT 提供的分布式去中心化查找机制使Mozi 能够将 C2 通信隐藏在大量合法 DHT 流量后面。
DHT 的使用很有趣,因为它允许 Mozi 快速发展 P2P 通信。由于它使用了 DHT 上的扩展,它与正常流量没有关联,因此检测 C2 通信变得更加困难。
Mozi 通过暴力破解 SSH 和 Telnet 端口来感染 Linux 系统。然后它会关闭这些端口,使其不会被其它恶意软件所覆盖。
图 4 Mozi 恶意软件样本的 Falcon 检测
Mirai :恶意软件共同的祖先
Mirai 软件在过去几年中声名大燥,尤其是在其开发者开放 Mirai源代码之后。与 Mozi 类似,Mirai 攻击弱协议和弱密码(例如 Telnet),通过暴力破解攻击来破坏设备。
开源以来,有十多个 Mirai 变种出现,它可以被认为是当今许多 Linux DDoS 恶意软件的共同祖先。虽然大多数变体与 Mirai 功能不一样或使用不同的通信协议,但内核均是 Mirai 的 DNA。
一些最流行的变体涉及 Sora、IZIH9 和 Rekai。与 2020 年相比,2021 年所有三种变体的已识别样本数量分别增加了 33%、39% 和 83%。
图 5 Mirai 恶意软件样本的 Falcon 检测
小结
Linux被广泛使用,威胁是真实的,而且正在出现。面临严峻的攻击危险,靠谱建议是通过cron安排自动更新和扫描。一旦启动了新系统,应立即执行初步扫描。
各位遇到过什么样的Linux 恶意软件,欢迎点评补充!
作者:场长 来源:21CTO
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/258586.html