Eine der großen Lügen und Mythen, die wir normalerweise hören und sehr oft gelesen ist das in „Linux gibt es keine Viren“, „Linux ist kein Ziel für Hacker“ und andere Dinge im Zusammenhang mit „Linux ist immun“, was völlig falsch ist …
Was, wenn wir halb Wahrheit und halb Lüge sagen können, ist, dass Linux nicht die gleiche Menge an Malware und Hackerangriffen hat. Dies hat einen einfachen und einfachen Grund, da es auf dem Linux-Markt nicht einmal 10% aller Desktop-Computer ausmacht, sodass es im Grunde (sozusagen) nicht rentabel ist, viel Zeit und Mühe aufzuwenden.
Aber weit gefehlt, das hat noch nicht den Ton angegeben Die Zahl der Malware-Infektionen, die auf Linux-Geräte abzielen, steigt weiter an und für das Jahr 2021 stieg der Betrag um 35 %, und das liegt daran, dass IoT-Geräte häufiger für DDoS-Angriffe (Distributed Denial of Service) gemeldet werden.
IoTs sind oft „intelligente“ Geräte mit geringem Stromverbrauch die verschiedene Linux-Distributionen ausführen und auf bestimmte Funktionen beschränkt sind. Aber trotzdem, Wenn ihre Ressourcen zu großen Gruppen zusammengefasst werden, können sie massive DDoS-Angriffe starten auch in gut geschützter Infrastruktur.
Zusätzlich zu DDoS werden Linux-IoT-Geräte rekrutiert, um Kryptowährung zu schürfen, Spam-Kampagnen zu ermöglichen, als Relais zu fungieren, als Befehls- und Kontrollserver zu fungieren oder sogar als Einstiegspunkte in Datennetze zu fungieren.
Ein Bericht von Crowdstrike Die Analyse von Angriffsdaten aus dem Jahr 2021 fasst Folgendes zusammen:
- Im Jahr 2021 gab es im Vergleich zu 35 einen 2020-prozentigen Anstieg an Malware, die auf Linux-Systeme abzielte.
- XorDDoS, Mirai und Mozi waren die am weitesten verbreiteten Familien und machten 22 % aller Malware-Angriffe auf Linux aus, die im Jahr 2021 beobachtet wurden.
- Insbesondere Mozi verzeichnete ein explosionsartiges Geschäftswachstum, wobei im letzten Jahr zehnmal so viele Muster im Umlauf waren wie im Vorjahr.
- Auch XorDDoS verzeichnete im Jahresvergleich eine bemerkenswerte Steigerung von 123 %.
Darüber hinaus bietet es eine kurze allgemeine Beschreibung der Malware:
- XordDoS: ist ein vielseitiger Linux-Trojaner, der auf mehreren Linux-Systemarchitekturen funktioniert, von ARM (IoT) bis x64 (Server). Es verwendet XOR-Verschlüsselung für die C2-Kommunikation, daher der Name. Wenn Sie IoT-Geräte angreifen, setzen Sie Brute-Force-XorDDoS-anfällige Geräte über SSH ein. Verwenden Sie auf Linux-Computern Port 2375, um kennwortlosen Root-Zugriff auf den Host zu erhalten. Ein bemerkenswerter Fall der Verbreitung der Malware wurde im Jahr 2021 gezeigt, nachdem ein chinesischer Bedrohungsakteur namens „Winnti“ beobachtet wurde, wie er sie zusammen mit anderen Spin-off-Botnets einsetzte.
- Kino: ist ein P2P (Peer-to-Peer)-Botnet, das sich auf das Distributed Hash Table Lookup (DHT)-System stützt, um verdächtige C2-Kommunikation vor Lösungen zur Überwachung des Netzwerkverkehrs zu verbergen. Dieses spezielle Botnet gibt es schon seit geraumer Zeit, es fügt kontinuierlich neue Schwachstellen hinzu und erweitert seine Reichweite.
- Suchen: Es ist ein berüchtigtes Botnet, das aufgrund seines öffentlich verfügbaren Quellcodes viele Forks hervorgebracht hat und weiterhin die Welt des IoT plagt. Die verschiedenen Derivate implementieren unterschiedliche C2-Kommunikationsprotokolle, aber sie alle missbrauchen häufig schwache Anmeldeinformationen, um sich in Geräte einzudringen.
Im Jahr 2021 wurden mehrere bemerkenswerte Mirai-Varianten behandelt, darunter „Dark Mirai“, das sich auf Heimrouter konzentriert, und „Moobot“, das auf Kameras abzielt.
„Einige der am weitesten verbreiteten Varianten, denen CrowdStrike-Forscher folgen, sind Sora, IZIH9 und Rekai“, erklärt CrowdStrike-Forscher Mihai Maganu in dem Bericht. „Im Vergleich zu 2020 stieg die Anzahl der für diese drei Varianten identifizierten Proben im Jahr 33 um 39 %, 83 % bzw. 2021 %.“
Die Ergebnisse von Crowstrike sind nicht überraschend, als bestätigen einen anhaltenden Trend, der sich in den Vorjahren abgezeichnet hat. Ein Intezer-Bericht mit Blick auf die Statistiken für 2020 ergab beispielsweise, dass Linux-Malware-Familien im Jahr 40 im Vergleich zum Vorjahr um 2020 % gewachsen sind.
In den ersten sechs Monaten des Jahres 2020 gab es einen kräftigen Anstieg der Golang-Malware um 500 %, was zeigt, dass Malware-Autoren nach Möglichkeiten suchen, ihren Code auf mehreren Plattformen zum Laufen zu bringen.
Diese Programmierung und damit der Targeting-Trend wurde bereits Anfang 2022 in Fällen bestätigt und wird voraussichtlich unvermindert fortgesetzt.
Quelle: https://www.crowdstrike.com/
Der Unterschied besteht darin, dass ein Zero Day unter Linux normalerweise in weniger als einer Woche (höchstens) gepatcht wird und einige unter Windows nie behoben werden.
Der Unterschied besteht darin, dass die Architektur und das Berechtigungssystem von Linux es viel schwieriger machen, erhöhte Berechtigungen von einem Benutzerkonto zu erhalten ...
Und der Unterschied besteht darin, dass der Großteil dieser Arbeit von Open-Source-Freiwilligen geleistet wird und nicht von großen Unternehmen, die proprietären Code erstellen, um vor uns zu verbergen, was darunter passiert. Opensource ist leicht überprüfbar.
Aber hey, Sie haben in einer Sache Recht: Wenn Ihre Benutzerzahl zunimmt, werden die Ressourcen, um sie anzugreifen und Schwachstellen zu untersuchen, zunehmen, wenn Sie damit wirtschaftliche Erträge erzielen können.
Es ist also eine gute Nachricht, dass Linux-Malware auf dem Vormarsch ist. :)
Und im IoT wird es zu 100% die Schuld des Herstellers sein, der Patch für viele Xiaomi-Router, die OpenWRT verwenden, wurde 2 Tage nach der Infektion mit Mirai veröffentlicht, Xiaomi wurde jede Woche aktualisiert. Viele andere wie TP-Link, die ebenfalls OpenWRT verwenden, wurden nie aktualisiert
Bis heute gibt es Waschmaschinen, die von Mirai infiziert sind und nicht aktualisiert werden, da es sich nur um einen Patch handelt, den sie starten müssen
Wie es bei HP-Servern passiert ist, haben sie Java nie gepatcht und es war vor 2 Jahren eine abgedeckte Schwachstelle