Liam Tung är en frilansande teknikjournalist på heltid som skriver för flera australiska publikationer.
Fullständig bio den 17 januari 2022 | Ämne: Säkerhet
Linux-baserade system finns överallt och är en central del av internetinfrastrukturen, men det är lågkraftiga Internet of Things-enheter (IoT) som har blivit huvudmålet för Linux-skadlig programvara.
Med miljarder internetanslutna enheter som bilar, kylskåp och nätverksenheter online har IoT-enheter blivit ett främsta mål för viss skadlig programvara – nämligen distribuerade överbelastningsattacker (DDoS), där skräptrafik syftar till att översvämma ett mål och slå dem offline. .
Säkerhetsleverantören CrowdStrike säger i en ny rapport att de vanligaste Linux-baserade malware-familjerna 2021 var XordDoS, Mirai och Mozi, som tillsammans stod för 22% av all Linux-baserad IoT-skadlig programvara det året. Dessa var också en viktig drivkraft för skadlig programvara inriktad på alla Linux-baserade system, som växte med 35 % 2021 jämfört med 2020.
Mozi, som uppstod 2019, är ett peer-to-peer-botnät som använder den distribuerade hashtabellen (DHT) – ett uppslagssystem – och förlitar sig på svaga Telnet-lösenord och kända sårbarheter för att rikta in sig på nätverksenheter, IoT och videobandspelare , bland andra internetanslutna produkter. Användningen av DHT tillåter Mozi att dölja sin kommando- och kontrollkommunikation bakom legitim DHT-trafik. Det fanns 10 gånger fler Mozi-prover 2021 jämfört med 2021, noterar Crowdstrike.
XordDoS, ett Linux-botnät för storskaliga DDoS-attacker, har funnits sedan åtminstone 2014 och söker igenom nätet efter Linux-servrar med SSH-servrar som inte är skyddade med ett starkt lösenord eller krypteringsnycklar. Den försöker gissa lösenordet för att ge angripare fjärrkontroll över enheten.
På senare tid började XordDoS rikta in sig på felkonfigurerade Docker-kluster i molnet snarare än dess historiska mål som routrar och internetanslutna smarta enheter. Docker-containrar är attraktiva för cryptocurrency mining malware eftersom de ger mer bandbredd, CPU och minne men DDoS malware drar nytta av IoT-enheter eftersom de ger fler nätverksprotokoll att missbruka. Men eftersom många IoT-enheter redan är infekterade blev Docker-kluster ett alternativt mål.
Enligt CrowdStrike är vissa XordDoS-varianter byggda för att skanna och söka efter Docker-servrar med 2375-porten öppen, och erbjuder en okrypterad Docker-socket och fjärråtkomst till värden utan lösenord utan lösenord. Detta kan ge angriparen root-åtkomst till maskinen.
XordDoS skadlig kod har ökat med nästan 123 % 2021 jämfört med 2020, enligt företaget.
Mirai sprider sig också genom att rikta in sig på Linux-servrar med svaga lösenord. De vanligaste Mirai-varianterna idag inkluderar Sora, IZIH9 och Rekai, som ökade i antalet nya prover med 33 %, 39 % respektive 83 % 2021, enligt CrowdStrike.
Säkerhets-TV | Datahantering | CXO | Datacenter