根据网络安全公司 发布的一份报告,与一年前相比,2021 年的 linux 恶意软件增加了 35%。该报告称针对各种物联网(iot)和移动设备的 linux 恶意软件激增,其中一些恶意软件使用物联网来产生大规模的僵尸网络大军以执行分布式拒绝服务 (ddos )攻击。
在前面提到的 35% 的恶意软件增长中,大约 22% 是属于三个家族的物联网特定恶意软件:
xorddos
mirai
mozi
与 2020 年相比,mozi 的恶意样本数量在 2021 年增加了 900%,xorddos 的样本数量也增加了 123%,miral 的三个变种 sora、izih9 和 rekai 在 2021 年分别增加了 33%、39% 和 83%。
恶意软件概述
xorddos:恶意软件样本增加 123%
xor ddos 是一种具有 rootkit 功能的 linux 木马恶意软件,用于发起大规模 ddos 攻击。它专为 arm、x86 和 x64 等多种 linux 架构而构建。该恶意软件使用硬编码的 xor 密钥在两个方向上执行 c&c 通信,因此得名 xor ddos。
在以物联网设备为目标时,已知该木马会使用 ssh 暴力攻击来远程控制易受攻击的设备。
docker 官方文档
在 linux 机器上,xorddos 的一些变体显示其操作员扫描并搜索 2375 端口打开的 docker 服务器。这个端口提供了一个未加密的 docker 套接字和对主机的远程 root 无密码访问,攻击者可以滥用它来获得对机器的 root 访问权限。
crowdstrike 研究人员发现,与 2020 年相比,整个 2021 年 xorddos 恶意软件样本的数量增加了近 123%。
mozi:2021 年流行 10 倍
mozi 是一个点对点 (p2p) 僵尸网络,它利用分布式哈希表 (dht) 系统,实现自己的扩展 dht。dht 提供的分布式去中心化查找机制使 mozi 能够将 c2 通信隐藏在大量合法 dht 流量后面。
dht 的使用允许 mozi 快速发展 p2p 网络。并且由于它使用了 dht 上的扩展,与正常流量无关,因此检测 c2 通信变得困难。
mozi 通过暴力破解 ssh 和 telnet 端口来感染系统。然后它会阻止这些端口,使其不会被其他恶意行为者或恶意软件覆盖。
linux mozi 恶意软件样本的 falcon 检测
mirai:恶意软件的祖先
mirai 曾在 2016 年引起大规模混乱,当时攻击了前 dns 提供商 dyn,并影响了包括 paypal、spotify、playstation network、xbox live、reddit、亚马逊、github 和许多其他流行服务平台。预计有超过 10 万台设备受牵连,攻击强度达到 1.2 tbps。
2017 年 10 月新型物联网僵尸网络来袭,这种僵尸网络比 2016 年的更为高明,借用了以前 mirai 的源代码,被发现的几率大幅度降低,最终弄导致 200 万台设备受感染,而且当时每日新增的设备感染数量高达 2300 多次。
与 mozi 类似,mirai 滥用弱协议和弱密码(例如 telnet)通过暴力破解攻击来破坏设备。
自从源代码公开以来,随着多个 mirai 变种的出现,lmirai 可以被认为是当今许多 linux ddos 恶意软件的共同祖先,大多数变体的核心共享相同的 mirai dna。
“crowdstrike 研究人员追踪的一些最流行的变体涉及 sora、izih9 和 rekai,”crowdstrike 研究员 mihai maganu 在报告中说。“与 2020 年相比,2021 年所有三种变体的已识别样本数量分别增加了 33%、39% 和 83%。”
展望 2022
crowstrike 的报告结果并不会令人感到惊奇,因为它证实了前几年出现的趋势。例如,一份分析 2020 年统计数据的 中发现,与上一年相比,2020 年 linux 恶意软件增加了 40%。
近年来记录的 linux 恶意软件 来源:intezer
这种趋势,目前看来已经得到初步证实,并且可以预见未来可能会继续有增无减。而根据相关预测,,这将为大规模僵尸网络创造更大的攻击面。因此,防范基于 linux 的恶意软件刻不容缓。
参考链接:
评论