针对 Linux 的恶意软件暴增 35％：XorDDoS、Mirai和Mozi 最盛行

近日，安全公司 CrowdStrike 公布的一份 告显示：在刚刚过去的 2021 年里，针对 Linux 操作系统（通常部署在物联 设备中）的恶意软件暴增了 35%。其中，XorDDoS、Mirai 和 Mozi 这三个恶意软件“家族”占所有基于 Linux 系统 IoT 里恶意软件的 22%。

2021年：新增 35% 的恶意软件瞄准 Linux 系统

在 2021年里，XorDDoS、MiaI 和 Mozi 作为基于 Linux 的恶意软件相比2020年暴涨了 35%。这些恶意软件样本中，相比 2020 年，XorDDoS 恶意软件样本增加了 123%，Mozi 的数量也比上一年增加了 10倍。

据悉，这些恶意软件的主要目的是危害易受攻击的互联 连接设备，将其聚合为“僵尸 络”，并利用它们进行分布式拒绝服务（DDoS）攻击。

恶意软件之一的 XorDDoS 是一种 Linux 特洛伊木马，其名字源于在恶意软件和 络通信中对 C2 基础设施使用 XOR 加密。该软件针对从 ARM 到 x86 和 x64 的各种 Linux 体系结构进行编译。针对物联 设备时，已知特洛伊木马会使用 SSH 暴力攻击远程控制易受攻击的设备。

在 Linux 机器上，XorDDoS 的一些变体显示，其运营商在 2375 端口打开的情况下扫描和搜索 Docker 服务器。该端口提供未加密的 Docker 套接字和对主机的远程根无密码访问，攻击者可以利用该端口获得对计算机的根访问。

Mirai 恶意软件在其开发者发布 Mirai 源码之后迅速流行了起来，并出现了多个 Mirai 变体。与 Mozi 类似，Mirai 滥用弱协议和弱密码（例如 Telnet）通过暴力破解攻击来破坏设备。

此前，CrowdStrike 研究人员追踪到的一些最常见的变种包括 Sora、IZIH9 和Rekai。与 2020 年相比，2021 年里样本中三个变异样本的数量分别增加了 33%、39% 和 83% 。此次 Linux 木马的核心部分，也共享了相同的 Mirai DNA。

Mozi 是一个点对点（P2P）僵尸 络，它使用分布式哈希表（DHT）系统来实现自己的扩展 DHT。DHT 提供的分布式分散查找机制允许 Mozi 将 C2 流量隐藏在大量合法 DHT 流量后面，DHT 允许 Mozi 快速发展 P2P 络。此外，由于它使用DHT 上的一个扩展，与正常流量无关，因此更难检测 C2 流量。

基于 Linux 和 IoT 的恶意软件“泛滥”

作为当今大多数云基础设施 和 web 服务器的动力提供者，Linux 同样也在为移动和物联 设备（IoT）提供动力。凭借其可扩展性、安全功能和广泛的发行版等优势，Linux 支持多种硬件设计，并在任何硬件需求上都具有出色的性能。

由于各种 Linux 构建和发行版本处于云基础设施、移动和物联 的核心，因此也为 络威胁者提供了巨大的机会。例如，无论是使用硬编码凭证、开放端口还是未修补的漏洞，运行 Linux 的物联 设备对威胁参与者来说都不太容易实现，而它们的整体危害却可能会威胁到关键互联 服务的完整性。

预计到 2025 年底，将有 300 多亿台物联 设备连接到互联 ，为 络威胁者和 络犯罪分子制造了大规模“僵尸 络”创造一个潜在的巨大攻击面。

“僵尸 络”是连接到远程指挥与控制（C2）中心的受损设备 络，它在更大的 络中充当一个小齿轮，并可能感染其他设备。“僵尸 络”通常用于 DDoS 攻击、滥发目标、获得远程控制及执行加密挖掘等 CPU 密集型活动。DDoS 攻击使用多个连接到 internet 的设备访问特定的服务或 关，通过消耗整个带宽阻止合法流量通过，从而导致其崩溃。

发生在 2016 年的“ Mirai僵尸 络”事件就提醒了人们，大量看似良性的设备执行 DDoS 攻击可能会中断关键互联 服务，影响组织和普通用户。而如今，这些泛滥的恶意软件，或将成为当前 Linux 面临的最大威胁。

– END –

想成为前端大佬？

测一测你的段位