Liam Tung er en fuldtids freelance teknologijournalist, der skriver for adskillige australske publikationer.
Fuld biografi den 17. januar 2022 | Emne: Sikkerhed
Linux-baserede systemer er overalt og er en kernedel af internetinfrastrukturen, men det er lavenergi-Internet of Things (IoT)-enheder, der er blevet hovedmålet for Linux-malware.
Med milliarder af internet-tilsluttede enheder som biler, køleskabe og netværksenheder online, er IoT-enheder blevet et primært mål for visse malware-aktiviteter – nemlig distribuerede denial of service (DDoS)-angreb, hvor uønsket trafik har til formål at oversvømme et mål og slå dem offline .
Sikkerhedsleverandøren CrowdStrike siger i en ny rapport, at de mest udbredte Linux-baserede malware-familier i 2021 var XordDoS, Mirai og Mozi, som tilsammen tegnede sig for 22% af al Linux-baseret IoT-malware det år. Disse var også en væsentlig årsag til malware målrettet mod alle Linux-baserede systemer, som voksede 35 % i 2021 sammenlignet med 2020.
Mozi, som dukkede op i 2019, er et peer-to-peer botnet, der bruger den distribuerede hash-tabel (DHT) – et opslagssystem – og er afhængig af svage Telnet-adgangskoder og kendte sårbarheder for at målrette netværksenheder, IoT og videooptagere blandt andre internet-tilsluttede produkter. Brugen af DHT giver Mozi mulighed for at skjule sin kommando- og kontrolkommunikation bag legitim DHT-trafik. Der var 10 gange flere Mozi-prøver i 2021 sammenlignet med 2021, bemærker Crowdstrike.
XordDoS, et Linux-botnet til store DDoS-angreb, har eksisteret siden mindst 2014 og scanner nettet for Linux-servere med SSH-servere, der ikke er beskyttet med en stærk adgangskode eller krypteringsnøgler. Den forsøger at gætte adgangskoden for at give angribere fjernstyring over enheden.
For nylig begyndte XordDoS at målrette mod fejlkonfigurerede Docker-klynger i skyen i stedet for dets historiske mål såsom routere og internetforbundne smartenheder. Docker-containere er attraktive for cryptocurrency-mining-malware, fordi de giver mere båndbredde, CPU og hukommelse, men DDoS-malware drager fordel af IoT-enheder, fordi de giver flere netværksprotokoller til misbrug. Men da mange IoT-enheder allerede er inficeret, blev Docker-klynger et alternativt mål.
Ifølge CrowdStrike er nogle XordDoS-varianter bygget til at scanne og søge efter Docker-servere med 2375-porten åben, hvilket tilbyder en ukrypteret Docker-socket og ekstern root-adgangskodefri adgang til værten. Dette kan give angriberen root-adgang til maskinen.
XordDoS-malwareprøver er steget med næsten 123 % i 2021 sammenlignet med 2020, ifølge firmaet.
Mirai spreder sig også ved at målrette mod Linux-servere med svage adgangskoder. De mest udbredte Mirai-varianter i dag omfatter Sora, IZIH9 og Rekai, som ifølge CrowdStrike steg i antallet af nye prøver med henholdsvis 33 %, 39 % og 83 % i 2021.
Sikkerheds-tv | Datastyring | CXO | Datacentre