Linux“安全債”問題爆發

2021年，“Linux安全債”問題爆發，根據CrowdStrike和Inteze的報告，針對Linux設備的惡意軟件感染數量增加了超過35%，最常見的Linux惡意軟件是劫持物聯網設備進行DDoS攻擊的僵尸物聯網病毒。

全球擁有海量終端的物聯網通常運行各種Linux發行版本的低功耗“智能”設備，功能相對單一。但是，當他們被聚合成一個大的網絡（例如僵尸網絡）時，甚至可以對防御能力很強的基礎設施發起大規模DDoS攻擊。

Linux安全債，一座活火山

肆虐全球的Log4j漏洞利用和npm開發者“下毒”事件讓人們再次將焦慮的目光投向開源軟件的安全問題。而Linux的“安全債”，又是開源安全的一座“活火山”和頭號威脅。

以Linux為代表的自由和開源軟件（FOSS）已成為現代經濟的重要組成部分，據估計，FOSS在現代軟件中的占比高達80-90％，任何安全問題都有可能給各行各業帶來災難性的后果。

但是Linux的安全生態和基礎安全卻異常薄弱，事實上，直到2021年2月份，支撐萬億美元規模數字經濟基礎設施的Linux，才在谷歌的資助下擁有了兩名全職帶薪安全工程師（負責Linux內核安全）。

安全債的長期累積使得Linux安全問題近年來呈現爆發趨勢，尤其是劫持Linux物聯網設備的惡意軟件開始肆虐。

除了DDoS攻擊，被劫持的Linux物聯網設備還經常被用來挖掘加密貨幣、發送垃圾郵件、提供中繼服務及命令和控制服務器，甚至充當企業網絡的攻擊入口點。

根據CrowdStrike最新發布的報告，2021年針對Linux系統的攻擊數據亮點如下：

• 與2020年相比，2021年針對Linux系統的惡意軟件增加了35%；
• XorDDoS、Mirai和Mozi（墨子）是最流行的家族，占2021年觀察到的所有針對Linux的惡意軟件攻擊的22%；
• 尤其是墨子僵尸網絡，其活動呈爆炸式增長，過去一年在野外流通的樣本數量是前一年的十倍；
• XorDDoS也有123%的顯著同比增長。

2021年的主要Linux惡意軟件

XorDDoS是一種通用的Linux特洛伊木馬，可在多種Linux系統架構中運行，從ARM（物聯網）到x64（服務器）。它使用XOR加密進行C2通信，因此得名。

XorDDoS通過SSH暴力破解易受攻擊的物聯網設備。在Linux機器上，它使用端口2375獲得對主機的無密碼root訪問權限。

Mozi（墨子）是一個值得關注的P2P僵尸網絡，它依靠分布式哈希表(DHT)查找系統來隱藏來自網絡流量監控解決方案的可疑C2通信。Mozi僵尸網絡已經存在了一段時間，并且不斷增加更多漏洞利用并擴大其目標范圍。

Mirai是一個臭名昭著的老牌僵尸網絡，同時也是網絡安全界的噩夢，因為Mirai是首個遵循敏捷開發方法的主流惡意軟件，其公開的源代碼始終困擾著物聯網世界，并且催生了許多分叉。

Mirai的各種迭代和衍生版本實現了不同的C2通信協議，但它們通常都濫用弱憑據來暴力破解設備。

2021年涌現了幾個值得注意的Mirai變體，例如專注于家用路由器的“Dark Mirai”和針對相機的“Moobot”。

根據報告，2021年最流行的Mirai變體包括Sora、IZIH9和Rekai，與2020年相比，2021年所有三種變體的已識別樣本數量分別增加了33%、39%和83%。

2022，趨勢延續

Crowstrike的報告結論并不令人驚訝，因為它印證了過去幾年Linux惡意軟件的持續趨勢。

例如，Intezer的報告分析2020年統計數據后發現，與上一年相比，2020年Linux惡意軟件家族增加了40%。

在2020年的前六個月，Golang惡意軟件的數量急劇增加了500%，這表明惡意軟件作者正在積極提高惡意軟件的跨平臺能力。

（來源：@GoUpSec）