一 我们通常听到的大谎言和神话 并且经常阅读的是 “Linux 没有病毒”, “Linux 不是黑客的目标”和其他与“Linux 免疫”有关的东西,这完全是错误的......
如果我们可以半真半假地说,Linux 没有相同数量的恶意软件和黑客攻击。 这是由于一个简单而简单的原因,由于在linux市场上它甚至不代表所有台式机的10%,因此花费大量时间和精力基本上是没有利润的(可以这么说)。
但远非如此,这还没有定下基调 针对 Linux 设备的恶意软件感染数量持续上升 2021 年这一数字增加了 35%,这是因为物联网设备更频繁地被报告为 DDoS 攻击(分布式拒绝服务)。
物联网通常是低功耗的“智能”设备 运行各种 Linux 发行版并且仅限于特定功能。 但尽管如此, 当他们的资源组合成大组时,他们可以发起大规模的DDoS攻击 即使在受到良好保护的基础设施中。
除了 DDoS 之外,Linux 物联网设备还被招募来挖掘加密货币、促进垃圾邮件活动、充当中继器、充当命令和控制服务器,甚至充当数据网络的入口点。
来自 Crowdstrike 的报告 分析 2021 年的攻击数据总结如下:
- 与 2021 年相比,35 年针对 Linux 系统的恶意软件增加了 2020%。
- XorDDoS、Mirai 和 Mozi 是最流行的家族,占 22 年针对 Linux 的所有恶意软件攻击的 2021%。
- 尤其是墨子,业务呈现爆炸式增长,去年流通的样品数量是前一年的十倍。
- XorDDoS 也出现了惊人的 123% 的同比增长。
此外,它还提供了恶意软件的简要概述:
- XordDoS: 是一种通用的 Linux 木马,适用于多种 Linux 系统架构,从 ARM(物联网)到 x64(服务器)。 它使用 XOR 加密进行 C2 通信,因此得名。 攻击物联网设备时,通过 SSH 暴力破解 XorDDoS 易受攻击的设备。 在 Linux 机器上,使用端口 2375 获得对主机的无密码 root 访问权限。 在观察到名为“Winnti”的中国威胁行为者将其与其他衍生僵尸网络一起部署后,2021 年出现了一个值得注意的恶意软件传播案例。
- 墨子: 是一个 P2P(点对点)僵尸网络,它依靠分布式哈希表查找 (DHT) 系统来隐藏来自网络流量监控解决方案的可疑 C2 通信。 这个特定的僵尸网络已经存在了很长一段时间,不断增加新的漏洞并扩大其影响范围。
- 看: 它是一个臭名昭著的僵尸网络,由于其公开的源代码而产生了许多分叉,并继续困扰着物联网世界。 各种衍生产品实现了不同的 C2 通信协议,但都经常滥用弱凭据来强制自己进入设备。
2021 年涵盖了几个值得注意的 Mirai 变体,例如专注于家用路由器的“Dark Mirai”和针对相机的“Moobot”。
“CrowdStrike 研究人员遵循的一些最流行的变体涉及 Sora、IZIH9 和 Rekai,”CrowdStrike 研究员 Mihai Maganu 在报告中解释道。 “与 2020 年相比,33 年为这三种变体鉴定的样本数量分别增加了 39%、83% 和 2021%。”
Crowstrike 的发现并不令人惊讶, 因为 确认前几年出现的持续趋势. 例如,一份针对 2020 年统计数据的 Intezer 报告发现,Linux 恶意软件家族在 40 年与上一年相比增长了 2020%。
在 2020 年的前六个月,Golang 恶意软件大幅增加了 500%,这表明恶意软件编写者正在寻找使他们的代码在多个平台上运行的方法。
这种规划,以及延伸的目标趋势,已经在 2022 年初的病例中得到证实,预计将继续有增无减。
数据来源: https://www.crowdstrike.com/
不同之处在于,Linux 上的零日补丁通常会在不到一周的时间内(最多)修补,而在 Windows 上,有些则永远无法解决。
不同之处在于 Linux 的体系结构和权限系统使得从用户帐户获得提升的权限变得更加困难......
不同之处在于,大部分工作是由开源志愿者完成的,而不是由创建专有代码以向我们隐藏底层发生的事情的大公司完成的。 开源很容易审计。
但是,嘿,你是对的一件事,如果你的用户增加,如果你能从中获得经济回报,那么攻击他们和探索漏洞的资源就会增加。
因此,Linux 恶意软件呈上升趋势是个好消息。 :)
而在物联网方面,100%都是厂商的错,很多小米路由器使用OpenWRT的补丁是在被Mirai感染两天后发布的,小米每周更新一次。 许多其他也使用 OpenWRT 的 TP-Link 从未更新
直到今天还有洗衣机被 Mirai 感染并且没有更新,只是他们必须启动的补丁
正如惠普服务器所发生的那样,他们从未修补过 Java,而且在 2 年前这是一个已覆盖的漏洞