锁定Linux平台的恶意程序在2021年增加了35%

资安 • 2023年9月15日 07:24 • 投稿

美国资安业者CrowdStrike本周揭露了2021年的Linux恶意程序状况，指出去年锁定Linux平台的恶意程序数量比2020年增加了35%，其中光是XorDDoS、Mirai与Mozi三大恶意程序家族就占了22%。

有鉴于Linux既具弹性又有多元的各种版本，因而适用于不同的硬件设计，例如目前全球大多数的云端基础设施与网页服务器都采用Linux，且它同时也是行动装置与物联网（IoT）装置的主要平台，其中，缺乏充分安全保护的移动及物联网装置，则替黑客带来了大量的开采机会，例如采用固定凭证、开放传输端口或未修补的安全漏洞等。根据估计，全球的物联网装置数量到了2025年，将会超过300亿台。

去年三大Linux恶意程序家族之一的XorDDoS为一木马程序，它锁定基于Arm、x86与x64等平台的Linux架构，主要藉由SSH暴力破解攻击取得物联网装置的远程控制权;有些变种会扫描及搜寻开启2375传输埠的Docker服务器，因为该传输埠提供了未加密的Docker插槽及无需密码的远程存取，因而遭到骇客滥用。与2020年相较，XorDDoS去年的样本数增加了123%。

至于Mozi则是一端对端的僵尸网络恶意程序，它藉由分布式哈希表（DHT）系统来部署自己的扩充DHT，DHT所具备的分布式与去中心化查找功能，让Mozi得以将C2C流量藏匿在大量的DHT合法流量中，利用DHT也能让Mozi快速壮大其僵尸网络。 Mozi也是透过暴力破解SSH及Telnet传输端口来入侵系统，随后还会封锁这些传输端口以避免被其它恶意程式取代。 Mozi去年的样本数多达前一年的10倍。

2016年问世的Mirai在源代码被公布后就一直流窜迄今，已出现数不清的变种，堪称是今日各种Linux DDoS恶意程序的共同祖先，也让它依旧身居主要Linux恶意程序之一。

CrowdStrike亦公布了上述三大Linux恶意程式家族的入侵指标供外界参考。