去年針對Linux發行版本的惡意軟件數量同比增加35%

與 2020 年相比，Mozi 在 2021 年的野外樣本數量大幅增加了 10 倍。這些惡意軟件家族的主要目的是破壞脆弱的互聯網連接設備，將它們聚集成僵尸網絡，并利用它們來進行分布式拒絕服務（DDoS）攻擊。

當今大多數的云基礎設施和網絡服務器都運行 Linux，但它也為移動和物聯網設備提供動力。它之所以受歡迎，是因為它提供了可擴展性、安全功能和廣泛的發行版，以支持多種硬件設計和在任何硬件要求上的巨大性能。

隨著各種 Linux 構建和分布在云基礎設施、移動和物聯網的核心，它為威脅者提供了一個巨大的機會。例如，無論是使用硬編碼憑證、開放端口還是未修補的漏洞，運行Linux的物聯網設備對威脅者來說都是一個低風險的果實--它們的大規模破壞會威脅到關鍵互聯網服務的完整性。預計到2025年底，將有超過300億臺物聯網設備連接到互聯網，為威脅和網絡犯罪分子創造一個潛在的巨大攻擊面，以創建大規模的僵尸網絡。

僵尸網絡是一個連接到遠程指揮和控制（C2）中心的受損設備網絡。它在更大的網絡中發揮著小齒輪的作用，并能感染其他設備。僵尸網絡經常被用于DDoS攻擊，向目標發送垃圾郵件，獲得遠程控制，并進行加密等CPU密集型活動。DDoS攻擊使用多個連接互聯網的設備來訪問一個特定的服務或網關，通過消耗整個帶寬來阻止合法流量的通過，導致其崩潰。

● XorDDoS

XorDDoS是一個為多種Linux架構編譯的Linux木馬，范圍從ARM到x86和x64。它的名字來自于在惡意軟件和網絡通信中使用XOR加密到C2基礎設施。當針對物聯網設備時，該木馬已知會使用SSH暴力攻擊來獲得對脆弱設備的遠程控制。

在 Linux 機器上，XorDDoS 的一些變種顯示，其操作者掃描和搜索Docker服務器，并打開2375端口。這個端口提供了一個未加密的Docker套接字和對主機的遠程root無密碼訪問，攻擊者可以濫用它來獲得對機器的root訪問。

● Mozi

Mozi 是一個點對點（P2P）僵尸網絡，利用分布式哈希表（DHT）系統，實施自己的擴展DHT。DHT提供的分布式和去中心化的查找機制使Mozi能夠將C2通信隱藏在大量合法的DHT流量后面。Mozi通過強加SSH和Telnet端口來感染系統。然后它封鎖這些端口，以便不被其他惡意行為者或惡意軟件覆蓋。

● Mirai

Mirai 惡意軟件在過去幾年中聲名鵲起，特別是在其開發者公布了 Mirai 的源代碼之后。與Mozi類似，Mirai濫用弱協議和弱密碼，如Telnet，利用暴力攻擊入侵設備。

自從Mirai的源代碼公開后，出現了多個Mirai變種，這個Linux木馬可以被認為是當今許多Linux DDoS惡意軟件的共同祖先。雖然大多數變種在現有的Mirai功能上進行了補充，或實現了不同的通信協議，但在其核心部分，它們共享相同的Mirai DNA。