随着联网设备的快速增长,物联网设备已经成为了恶意软件攻击的重灾区。作为互联网基础设施的核心部分,Linux 攻击者也将目标锁定在了物联网设备,通过垃圾流量来淹没设备并使其脱机。
根据安全供应商CrowdStrike 最新发布的报告显示:相比于2020年,2021年恶意软件增长了35%,其中最流行的基于Linux恶意软件包括XorDDoS、Mirai 和 Mozi,它们占据了所有基于 Linux 恶意软件的 22%。
报告数据显示,2021年Mozi样本数量比去年增加了10倍。Mozi是2019年出现的点对点僵尸网络,使用分布式哈希表 (DHT)——查找系统——并依靠弱 Telnet 密码和已知漏洞来攻击网络设备、物联网和录像机及其它联网产品。DHT 的使用允许 Mozi 将其命令和控制通信隐藏在合法的 DHT 流量后面。
报告数据显示,与 2020 年相比,2021 年 XorDDoS 恶意软件样本增加了近 123%。XorDDoS 是2014年就存在的、用于大规模 DDoS 攻击的 Linux 僵尸网络,它使用不受强密码或加密密钥保护的 SSH 服务器扫描网络以查找 Linux 服务器,并通过猜测密码使得攻击者远程控制设备。现在, XorDDoS 开始针对云中配置错误的 Docker 集群,例如路由器和连接互联网的智能设备。由于物联网设备的网络协议众多,极易导致滥用,因此DDoS恶意软件之前总是喜欢攻击物联网设备。但是随着被攻击的物联网设备越来越多,恶意软件开始将目光转向了Docker。
根据 CrowdStrike 的描述:一些 XorDDoS 变体用于扫描和搜索 2375 端口打开的 Docker 服务器,提供未加密的 Docker 套接字和对主机的远程 root 无密码访问。这可以为攻击者提供对机器的 root 访问权限。
而Mirai主要是针对具有弱密码的Linux服务器,目前比较流行的Mirai 变体包括 Sora、IZIH9 和 Rekai,它们的新样本数量在 2021 年分别增加了 33%、39% 和 83%。
