美国安全企业CrowdStrike本周披露了2021年的Linux恶意程序状况,指出去年锁定Linux平台的恶意程序数量比2020年增加了35%,其中光是XorDDoS、Mirai与Mozi三大恶意程序家族就占了22%。
有鉴于Linux既具弹性又有多样的各种版本,因而适用于不同的硬件设计,例如目前全球大多数的云计算基础设施与网页服务器都采用Linux,且它同时也是移动设备与物联网(IoT)设备的主要平台,其中,缺乏充分安全保护的行动及物联网设备,则替黑客带来了大量的开采机会,例如采用固定凭证、开放传输端口或未修补的安全漏洞等。根据估计,全球的物联网设备数量到了2025年,将会超过300亿台。
去年三大Linux恶意程序家族之一的XorDDoS为一木马程序,它锁定基于Arm、x86与x64等平台的Linux架构,主要借由SSH暴力破解攻击取得物联网设备的远程控制权;有些变种会扫描及搜索打开2375传输端口的Docker服务器,因为该传输端口提供了未加密的Docker插槽及无需密码的远程访问,因而遭到黑客滥用。与2020年相较,XorDDoS去年的样本数增加了123%。
至于Mozi则是一端对端的僵尸网络恶意程序,它借由分布式散列表(DHT)系统来部署自己的扩展DHT,DHT所具备的分布式与去中心化查找功能,让Mozi得以将C2C流量藏匿在大量的DHT合法流量中,利用DHT也能让Mozi快速壮大其僵尸网络。Mozi也是通过暴力破解SSH及Telnet传输端口来入侵系统,随后还会封锁这些传输端口以避免被其它恶意程序取代。Mozi去年的样本数多达前一年的10倍。
2016年问世的Mirai在源码被公布后就一直流窜迄今,已出现数不清的变种,堪称是今日各种Linux DDoS恶意程序的共同祖先,也让它依旧身居主要Linux恶意程序之一。
CrowdStrike也公布了上述三大Linux恶意程序家族的入侵指标供外界参考。