崔丹

2021年，针对Linux设备的恶意软件感染数量上升了35 %，其中最常见的是利用物联网设备进行分布式拒绝服务（DDoS）攻击。

美国信息安全公司CrowdStrike在2021年的攻击数据报告中总结了以下内容：

与2020年度相比，2021年度针对Linux系统的恶意软件增加了35%；

XorDDoS、Mirai和Mozi僵尸网络是最流行的攻击形式，占2021年观察到所有针对Linux的恶意软件攻击总量的22 %；

Mozi僵尸网络过去一年的活动呈爆炸式增长，流通的样本数量是前一年的10倍多；

XorDDoS僵尸网络同比增长了123 %。

物联网智能设备通常运行不同版本的Linux系統，并且仅限于特定的功能。然而，当它们的资源合并形成一定规模时，就可以对保护良好的基础设施进行大规模DDoS攻击。

除了发动DDoS攻击，Linux物联网设备也被用来挖掘加密货币、滥发垃圾邮件、充当命令和控制服务器，有时甚至用来充当企业网络的入口点。

XorDDoS是一种通用的Linux木马，因对C2通信使用XOR加密而得名，可以在从物联网ARM到x64服务器的多种Linux系统架构中运行。在XorDDoS攻击物联网设备时，它通常通过安全外壳协议（SSH）暴力入侵易感染设备。在Linux机器上，使用端口2375获得对主机的无密码root访问权限。

2021有人观察到一个名为Winnti的攻击者将该恶意软件与其他衍生僵尸网络一起部署。这起传播案例曾引起了广泛的关注。

Mozi是一个P2P僵尸网络，它依靠DHT（分布式哈希表）查找系统来隐藏可疑的C2通信，因此很难被网络流量监控解决方案发现。

这个特定的僵尸网络已经流行了一段时间，而且它正在不断增加更多漏洞并扩大其目标范围。

Mirai因其公开源代码继续困扰物联网世界而臭名昭著。它发展至今也催生了众多分叉，各种衍生产品实现了不同的C2通信协议，而它们通常都利用弱凭据来暴力破解设备。

2021年内出现过的几个Mirai变体曾引起广泛关注，例如针对家用路由器的Dark Mirai和针对相机的Moobot。

CrowdStrike研究人员目前追踪的最流行的变体有Sora，IZIH9，Rekai。相比2020年，这3种变体的已识别样本数量分别增加了33 %、39 %和83 %。”

其实Crowstrike的发现并不出乎人们的预料，这恰好证实了前几年出现的持续趋势。例如，网络安全公司Intezer在2020年就通过统计数据发现当年的Linux恶意软件攻击数量相比于上一年增加了40 %。

2020年的前6个月，Golang恶意软件急剧增长500 %，这就表明恶意软件的作者正在寻找使他们的代码在多个平台上运行的方法。

这种目标延伸扩大的趋势已经在2022年初的案例中得到证实，并且在将来只会有增无减。

3530501908292