根据网络安全公司 crowdstrike 发布的报告,2021 年 linux 恶意软件数量较一年前增长了 35%。该报告指出,针对物联网(iot)和移动设备的 linux 恶意软件激增,其中一些被用于创建大规模的僵尸网络,以实施分布式拒绝服务(ddos)攻击。
在报告中提到的 35% 的恶意软件增长中,有 22% 属于三个家族的物联网特定恶意软件:
XorDDoS、Mirai 和 Mozi。与 2020 年相比,Mozi 的恶意样本数量在 2021 年激增了 900%,XorDDoS 的样本数量增加了 123%,而 Mirai 的三个变种 Sora、IZIH9 和 Rekai 分别增加了 33%、39% 和 83%。
恶意软件概述
XorDDoS:样本数量增加 123%
XorDDoS 是一种具有 rootkit 功能的 Linux 木马恶意软件,主要用于发起大规模 DDoS 攻击。它支持 ARM、x86 和 x64 等多种 Linux 架构。该恶意软件因使用硬编码的 XOR 密钥进行 C&C 通信而得名。
在攻击物联网设备时,XorDDoS 通过 ssh 暴力破解来远程控制易受攻击的设备。
docker 官方文档
在 Linux 机器上,XorDDoS 的一些变体会扫描并寻找开放了 2375 端口的 Docker 服务器。这个端口提供了未加密的 Docker 套接字和对主机的远程无密码 root 访问,攻击者可以利用它获得对机器的 root 访问权限。
CrowdStrike 的研究人员发现,2021 年 XorDDoS 恶意软件样本数量较 2020 年增加了近 123%。
Mozi:2021 年增长 10 倍
Mozi 是一个点对点 (p2p) 僵尸网络,利用分布式哈希表 (DHT) 系统,构建了自己的扩展 DHT。DHT 提供的分布式去中心化查找机制,使 Mozi 能够将 C2 通信隐藏在大量合法 DHT 流量中。
DHT 的使用使 Mozi 能够快速扩展 P2P 网络。由于它使用了扩展 DHT,与正常流量无关,检测 C2 通信变得更加困难。
Mozi 通过 SSH 和 Telnet 端口的暴力破解来感染系统,并阻止这些端口以避免被其他恶意行为者或恶意软件覆盖。
Linux Mozi 恶意软件样本的 Falcon 检测
Mirai:恶意软件的鼻祖
Mirai 在 2016 年引发了大规模混乱,攻击了前 DNS 提供商 Dyn,影响了包括 PayPal、Spotify、PlayStation Network、xbox Live、reddit、亚马逊、gitHub 等众多流行服务平台。超过 10 万台设备受到影响,攻击强度达到了 1.2 Tbps。
2017 年 10 月,新型物联网僵尸网络出现,比 2016 年的更具威胁性,借用了 Mirai 的源代码,降低了被发现的几率,最终导致 200 万台设备被感染,每日新增感染数量高达 2300 多次。
与 Mozi 类似,Mirai 通过滥用弱协议和弱密码(如 Telnet)进行暴力破解攻击。
自从源代码公开以来,Mirai 变种层出不穷,LMirai 被认为是许多当今 Linux DDoS 恶意软件的共同祖先,大多数变体的核心共享相同的 Mirai DNA。
CrowdStrike 研究人员 Mihai Maganu 在报告中指出:“我们追踪的一些最流行的变体包括 Sora、IZIH9 和 Rekai。与 2020 年相比,2021 年这三种变体的已识别样本数量分别增加了 33%、39% 和 83%。”
展望 2022
CrowdStrike 的报告结果并不令人意外,因为它确认了前几年的趋势。例如,Intezer 的一份报告分析了 2020 年的统计数据,发现与上一年相比,2020 年 Linux 恶意软件增加了 40%。
近年来记录的 Linux 恶意软件 来源:Intezer
这种趋势已初步得到验证,并预计未来可能会继续增加。根据预测,到 2025 年底,将有超过 300 亿台物联网设备连接到互联网,这将为大规模僵尸网络创造更大的攻击面。因此,防范基于 Linux 的恶意软件刻不容缓。
参考链接:
