根据网络安全公司CrowdStrike的遥测数据，2021年Linux系统中的恶意软件数量增加了35%。Linux系统通常部署在物联网设备中，最常见的是利用物联网设备进行DDoS攻击。其中前三大恶意软件是XorDDoS、Mirai和Mozi，占所有基于Linux的IoT恶意软件的22%。Mozi的野外恶意样本数量增加了十倍。这些恶意软件家族的主要目的是入侵易受攻击的互联网连接设备，将其聚集成僵尸网络，并使用它们执行分布式拒绝服务(DDoS)攻击。

一、基于Linux的恶意软件和物联网

Linux为当今大多数云基础设施和Web服务器提供支持，也为移动和物联网设备提供支持。Linux系统很受欢迎，是因为它提供了可扩展性、安全功能和广泛的发行版，以支持多种硬件设计，并在任何硬件要求上都具有出色性能。

由于各种Linux构建和发行版本处于云基础设施、移动和物联网的核心，为威胁行为者提供了巨大的机会。对于威胁行为者来说，运行Linux的物联网设备都是唾手可得的攻击目标，无论是利用硬编码凭证、开放端口还是未修补的漏洞，大规模入侵可能会威胁到关键互联网服务的完整性。预计到2025年底，将有超过300亿台物联网设备连接到互联网，从而为威胁和网络犯罪分子创建大规模僵尸网络创造了一个潜在的巨大攻击面。

僵尸网络是连接到远程命令和控制(C2)中心的受感染设备网络。它在更大的网络中充当一个小齿轮，并且可能感染其他设备。僵尸网络通常用于DDoS攻击、向目标发送垃圾邮件、获得远程控制和执行加密货币挖矿等CPU密集型活动。DDoS攻击使用多个连接互联网的设备访问特定的服务或网关，通过消耗整个带宽来阻止合法流量通过，从而导致其崩溃。

Mirai僵尸网络事件显示，大量看似良性的设备执行DDoS攻击可能会破坏关键的互联网服务，影响组织和普通用户。

二、Linux系统面临的主要威胁

分析当前的Linux威胁态势，XorDDoS、Mirai和Mozi恶意软件家族和变种是2021年的前三大恶意软件，占所有以物联网Linux为目标的恶意软件的22%以上。

1、XorDDoS恶意软件样本增加123%

XorDDoS是针对多种Linux架构编译的Linux木马，从ARM到x86和x64，名称来源于在恶意软件与C2基础设施的网络通信中使用XOR加密。在以物联网设备为攻击目标时，该木马会使用SSH暴力攻击来远程控制易受攻击的设备。

图1 Docker官方文档

在Linux机器上，XorDDoS的一些变体显示，其运营商扫描并搜索2375端口打开的Docker服务器。这个端口提供了未加密的Docker套接字和对主机的远程root无密码访问，攻击者可以滥用此端口来获得对机器的root访问权限。

CrowdStrike研究人员发现，与2020年相比，整个2021年XorDDoS恶意软件样本的数量增加了近123%。

图2 Linux XorDDoS恶意软件样本

2、Mozi在2021年激增10倍

Mozi是一个点对点(P2P)僵尸网络，利用分布式哈希表(DHT)系统实现自己的扩展DHT。DHT提供的分布式去中心化查找机制使Mozi能够将C2通信隐藏在大量合法DHT流量后面。

图3 Mozi的DHT系统

DHT的使用很有趣，因为它允许Mozi快速发展P2P网络。而且由于它使用了DHT上的扩展，与正常流量无关，因此检测C2通信变得困难。

Mozi通过暴力破解SSH和Telnet端口来感染系统，然后会阻止这些端口，使其不会被其他恶意行为者或恶意软件覆盖。

图4 Linux Mozi恶意软件样本

3、Mirai恶意软件

Mirai恶意软件在过去几年中声名鹊起，尤其是在其开发者发布Mirai源代码之后。与Mozi类似，Mirai滥用弱协议和弱密码（例如Telnet）通过暴力破解攻击来破坏设备。

自从源代码公开以来，出现了多个Mirai变体，Linux木马被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变体都添加了现有的Mirai功能或实施不同的通信协议，但它们的核心共享相同的Mirai DNA。

CrowdStrike研究人员追踪的一些最流行的变体包括Sora、IZIH9和Rekai。与2020年相比，2021年这三种变体的已识别样本数量分别增加了33%、39%和83%。

图5 Linux Mirai恶意软件样本

参考资源：

【1】https://www.crowdstrike.com/blog/linux-targeted-malware-increased-by-35-percent-in-2021/