热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

去年针对 Linux 发行版本的恶意软件数量同比增加 35%

来源:cnBeta.COM 2022.01.19

根据 CrowdStrike 的威胁遥测数据,在 2021 年针对 Linux 发行版本(被物联网设备广泛部署)的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。

1642472022843

与 2020 年相比,Mozi 在 2021 年的野外样本数量大幅增加了 10 倍。这些恶意软件家族的主要目的是破坏脆弱的互联网连接设备,将它们聚集成僵尸网络,并利用它们来进行分布式拒绝服务(DDoS)攻击。

当今大多数的云基础设施和网络服务器都运行 Linux,但它也为移动和物联网设备提供动力。它之所以受欢迎,是因为它提供了可扩展性、安全功能和广泛的发行版,以支持多种硬件设计和在任何硬件要求上的巨大性能。

随着各种 Linux 构建和分布在云基础设施、移动和物联网的核心,它为威胁者提供了一个巨大的机会。例如,无论是使用硬编码凭证、开放端口还是未修补的漏洞,运行Linux的物联网设备对威胁者来说都是一个低风险的果实–它们的大规模破坏会威胁到关键互联网服务的完整性。预计到2025年底,将有超过300亿台物联网设备连接到互联网,为威胁和网络犯罪分子创造一个潜在的巨大攻击面,以创建大规模的僵尸网络。

僵尸网络是一个连接到远程指挥和控制(C2)中心的受损设备网络。它在更大的网络中发挥着小齿轮的作用,并能感染其他设备。僵尸网络经常被用于DDoS攻击,向目标发送垃圾邮件,获得远程控制,并进行加密等CPU密集型活动。DDoS攻击使用多个连接互联网的设备来访问一个特定的服务或网关,通过消耗整个带宽来阻止合法流量的通过,导致其崩溃。

● XorDDoS

XorDDoS是一个为多种Linux架构编译的Linux木马,范围从ARM到x86和x64。它的名字来自于在恶意软件和网络通信中使用XOR加密到C2基础设施。当针对物联网设备时,该木马已知会使用SSH暴力攻击来获得对脆弱设备的远程控制。

1642472097949

在 Linux 机器上,XorDDoS 的一些变种显示,其操作者扫描和搜索Docker服务器,并打开2375端口。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问,攻击者可以滥用它来获得对机器的root访问。

1642472259234

● Mozi

1642472302392

Mozi 是一个点对点(P2P)僵尸网络,利用分布式哈希表(DHT)系统,实施自己的扩展DHT。DHT提供的分布式和去中心化的查找机制使Mozi能够将C2通信隐藏在大量合法的DHT流量后面。Mozi通过强加SSH和Telnet端口来感染系统。然后它封锁这些端口,以便不被其他恶意行为者或恶意软件覆盖。

1

● Mirai

Mirai 恶意软件在过去几年中声名鹊起,特别是在其开发者公布了 Mirai 的源代码之后。与Mozi类似,Mirai滥用弱协议和弱密码,如Telnet,利用暴力攻击入侵设备。

1642472529034

自从Mirai的源代码公开后,出现了多个Mirai变种,这个Linux木马可以被认为是当今许多Linux DDoS恶意软件的共同祖先。虽然大多数变种在现有的Mirai功能上进行了补充,或实现了不同的通信协议,但在其核心部分,它们共享相同的Mirai DNA。

 

售前支持

400-161-0866