【無孔不入】Linux惡意軟件攻擊增加 專攻IoT設備
以 Linux 系統運作的物件無處不在,更是互聯網基礎設施的核心部分,但低功率的物聯網 (IoT) 設備,原來也稍稍地成為 Linux 惡意軟件的主要目標。隨著數十億聯網設備,如汽車、雪櫃、網絡連線裝置連上互聯網,這些物聯網設備已成為某些惡意軟件活動的主要目標,並以 DDoS 模式作攻擊,以垃圾流量強行令目標離線。
安全服務供應商 CrowdStrike 在一份新報告中表示,2021 年最常見針對 Linux 的惡意軟件系列分別是 XorDDoS、Mirai 和 Mozi,三者加起來佔該年所有針對 Linux 物聯網的惡意軟件共 22%。而與 2020 年相比,2021 年的惡意軟件增長了 35%。
Mozi 早於 2019 年出現,是一個點對點的殭屍網絡,使用 Distributed Hash Table (DHT) 方式,即一種查找系統,依靠弱 Telnet 密碼和已知漏洞,來針對網絡設備、物聯網和錄影機等其他聯網內的產品作入侵。 利用 DHT 能讓 Mozi 將其命令和控制通訊隱藏於合法的 DHT 流量中,Crowdstrike 指出,與 2021 年相比,2021 年的 Mozi 樣本數量更增加了 10 倍。
XorDDoS 則是一個用於大規模 DDoS 攻擊的 Linux 殭屍網絡,在 2014 年甚至更早之前就已經存在,利用沒有強密碼或加密密鑰保護的 SSH 伺服器,掃描網絡查找 Linux 伺服器,繼而試圖猜測密碼令攻擊者能夠遙距控制設備。
最近,XorDDoS 開始針對雲端上配置錯誤的 Docker 集群,而不是以往路由器和連接互聯網的智能設備這類型的攻擊目標。Docker 容器對加密貨幣挖掘惡意軟件具有吸引力,因為它們提供了更多的帶寬、CPU 和記憶體。DDoS 惡意軟件從物聯網設備中亦有所獲益,因為它們提供了更多可供利用的網絡協議。然而,由於許多物聯網設備已經被感染,Docker 集群就成為了一個替代目標。
根據 CrowdStrike 所指,一些 XorDDoS 變體用於掃描和搜索 2375 端口打開的 Docker 伺服器,藉以對未加密的 Docker 插座和對主機遙距 root 無密碼存取。CrowdStrike 又指,與 2020 年相比,2021 年 XorDDoS 惡意軟件樣本增加了近 123%。
而 Mirai 通過針對具有弱密碼的 Linux 伺服器進行傳播,根據 CrowdStrike 的數據,當今最流行的 Mirai 變體包括 Sora、IZIH9 和 Rekai,它們的新樣本數量在 2021 年分別增加了 33%、39% 和 83%。