Liam Tung er en heltids frilansteknologijournalist som skriver for flere australske publikasjoner.
Full Bio 17. januar 2022 | Emne: Sikkerhet
Linux-baserte systemer er overalt og er en kjernedel av internettinfrastrukturen, men det er IoT-enheter (Internet of Things) med lite strøm som har blitt hovedmålet for Linux-skadevare.
Med milliarder av Internett-tilkoblede enheter som biler, kjøleskap og nettverksenheter på nettet, har IoT-enheter blitt et hovedmål for visse malware-aktiviteter – nemlig distribuert denial of service (DDoS)-angrep, der søppeltrafikk har som mål å oversvømme et mål og slå dem offline. .
Sikkerhetsleverandøren CrowdStrike sier i en ny rapport at de mest utbredte Linux-baserte malware-familiene i 2021 var XordDoS, Mirai og Mozi, som til sammen sto for 22% av all Linux-basert IoT-malware det året. Disse var også en hoveddriver for skadelig programvare rettet mot alle Linux-baserte systemer, som vokste 35 % i 2021 sammenlignet med 2020.
Mozi, som dukket opp i 2019, er et peer-to-peer botnett som bruker den distribuerte hashtabellen (DHT) – et oppslagssystem – og er avhengig av svake Telnet-passord og kjente sårbarheter for å målrette mot nettverksenheter, IoT og videoopptakere , blant andre internett-tilkoblede produkter. Bruken av DHT lar Mozi skjule sin kommando- og kontrollkommunikasjon bak legitim DHT-trafikk. Det var 10 ganger flere Mozi-prøver i 2021 sammenlignet med 2021, bemerker Crowdstrike.
XordDoS, et Linux-botnett for DDoS-angrep i stor skala, har eksistert siden minst 2014 og skanner nettet etter Linux-servere med SSH-servere som ikke er beskyttet med et sterkt passord eller krypteringsnøkler. Den prøver å gjette passordet for å gi angripere fjernkontroll over enheten.
Nylig begynte XordDoS å målrette feilkonfigurerte Docker-klynger i skyen i stedet for de historiske målene som rutere og internett-tilkoblede smartenheter. Docker-containere er attraktive for cryptocurrency mining malware fordi de gir mer båndbredde, CPU og minne, men DDoS malware drar nytte av IoT-enheter fordi de gir flere nettverksprotokoller for misbruk. Men siden mange IoT-enheter allerede er infisert, ble Docker-klynger et alternativt mål.
I følge CrowdStrike er noen XordDoS-varianter bygget for å skanne og søke etter Docker-servere med 2375-porten åpen, og tilbyr en ukryptert Docker-socket og ekstern root-passordløs tilgang til verten. Dette kan gi angriperen root-tilgang til maskinen.
XordDoS-malwareprøver har økt med nesten 123 % i 2021 sammenlignet med 2020, ifølge firmaet.
Mirai sprer seg også ved å målrette Linux-servere med svake passord. De mest utbredte Mirai-variantene i dag inkluderer Sora, IZIH9 og Rekai, som økte i antall nye prøver med henholdsvis 33 %, 39 % og 83 % i 2021, ifølge CrowdStrike.
Sikkerhets-TV | Databehandling | CXO | Datasentre