2021年Linux惡意軟件感染數量增長35%

崔丹

2021年，針對Linux設備的惡意軟件感染數量上升了35 %，其中最常見的是利用物聯網設備進行分布式拒絕服務（DDoS）攻擊。

美國信息安全公司CrowdStrike在2021年的攻擊數據報告中總結了以下內容：

與2020年度相比，2021年度針對Linux系統的惡意軟件增加了35%；

XorDDoS、Mirai和Mozi僵尸網絡是最流行的攻擊形式，占2021年觀察到所有針對Linux的惡意軟件攻擊總量的22 %；

Mozi僵尸網絡過去一年的活動呈爆炸式增長，流通的樣本數量是前一年的10倍多；

XorDDoS僵尸網絡同比增長了123 %。

物聯網智能設備通常運行不同版本的Linux系統，并且僅限于特定的功能。然而，當它們的資源合并形成一定規模時，就可以對保護良好的基礎設施進行大規模DDoS攻擊。

除了發動DDoS攻擊，Linux物聯網設備也被用來挖掘加密貨幣、濫發垃圾郵件、充當命令和控制服務器，有時甚至用來充當企業網絡的入口點。

XorDDoS是一種通用的Linux木馬，因對C2通信使用XOR加密而得名，可以在從物聯網ARM到x64服務器的多種Linux系統架構中運行。在XorDDoS攻擊物聯網設備時，它通常通過安全外殼協議（SSH）暴力入侵易感染設備。在Linux機器上，使用端口2375獲得對主機的無密碼root訪問權限。

2021有人觀察到一個名為Winnti的攻擊者將該惡意軟件與其他衍生僵尸網絡一起部署。這起傳播案例曾引起了廣泛的關注。

Mozi是一個P2P僵尸網絡，它依靠DHT（分布式哈希表）查找系統來隱藏可疑的C2通信，因此很難被網絡流量監控解決方案發現。

這個特定的僵尸網絡已經流行了一段時間，而且它正在不斷增加更多漏洞并擴大其目標范圍。

Mirai因其公開源代碼繼續困擾物聯網世界而臭名昭著。它發展至今也催生了眾多分叉，各種衍生產品實現了不同的C2通信協議，而它們通常都利用弱憑據來暴力破解設備。

2021年內出現過的幾個Mirai變體曾引起廣泛關注，例如針對家用路由器的Dark Mirai和針對相機的Moobot。

CrowdStrike研究人員目前追蹤的最流行的變體有Sora，IZIH9，Rekai。相比2020年，這3種變體的已識別樣本數量分別增加了33 %、39 %和83 %。”

其實Crowstrike的發現并不出乎人們的預料，這恰好證實了前幾年出現的持續趨勢。例如，網絡安全公司Intezer在2020年就通過統計數據發現當年的Linux惡意軟件攻擊數量相比于上一年增加了40 %。

2020年的前6個月，Golang惡意軟件急劇增長500 %，這就表明惡意軟件的作者正在尋找使他們的代碼在多個平臺上運行的方法。

這種目標延伸擴大的趨勢已經在2022年初的案例中得到證實，并且在將來只會有增無減。

3530501908292