Linux Malware steg 35% i 2021

Antallet af malware infektioner rettet mod Linux-enheder steg med 35% i 2021. Mange IOT enheder er dog med til at trække tallene oftest at rekruttere IoT-enheder til DDoS (distribueret denial of service) angreb.

IoT’er er typisk “smarte” enheder, der kører MED forskellige Linux-distributioner og er begrænset til specifik funktionalitet. Men når deres ressourcer kombineres i store grupper, kan de levere ret så massive DDOS angreb. Også i en styrke der kan lægge selv godt beskyttede netværk ned.

Udover DDoS hackes Linux IoT-enheder til at udvinde kryptovaluta, pam-mail-kampagner, fungere som mail relæer, fungere som kommando- og kontrolservere eller endda fungere som indgangspunkter i virksomhedsnetværk.

En Crowdstrike-rapport, der undersøger angrebsdata fra 2021, siger følgende:

  • I 2021 var der en 35% stigning i malware rettet mod Linux-systemer sammenlignet med 2020.
  • XorDDoS, Mirai og Mozi var de mest udbredte familier, der tegner sig for 22% af alle Linux-målretning malware-angreb observeret i 2021.
  • Især Mozi havde eksplosiv vækst i sin aktivitet, med ti gange flere prøver cirkulerer i naturen det år, der gik i forhold til den foregående.
  • XorDDoS havde også en bemærkelsesværdig stigning fra år til år på 123%.

Oversigt over malware

XorDDoS er en alsidig Linux trojan, der fungerer i flere Linux-systemarkitekturer, fra ARM (IoT) til x64 (servere). Det bruger XOR kryptering til C2 kommunikation, deraf navnet.

Når XorDDoS angriber IoT-enheder, styrker de sårbare enheder via SSH. På Linux-maskiner bruger den port 2375 til at få adgangskodefri rodadgang til værten.

Et bemærkelsesværdigt tilfælde af malware distribution blev vist i 2021 efter en kinesisk trussel skuespiller kendt som “Winnti” med andre afledte botnets.

Mozi er en P2P botnet der bruger den distribuerede hash tabel (DHT) opslagssystem til at skjule mistænkelig C2 kommunikation fra software og hardware overvågning løsninger af netværkstrafik

Den særlige botnet tilføjer flere sårbarheder løbende og udvider sin målretning løbende til nye markeder.

DHT system implementeret i Mozi Source: Crowdstrike

Mirai er et berygtet botnet, der med offentlig kildekode giver næring til nye kriminelle bander der så bygger nye funktioner ind. Et par af dem er VisualDoor og OBR.  Mirai er en af de største angribere af IoT enheder.

De forskellige derivater implementere forskellige C2 kommunikationsprotokoller, men de misbruger alle typisk svage legitimationsoplysninger til brute-force i enheder.

Vi har skrevet om Mirai varianterne før, bl.a. DARK MIRAI som er den der var mest fokuseret på hjemmeroutere. Moobot som også er bygget på Mirai er rettet mod kameraer.

“Nogle af de mest udbredte varianter spores af CrowdStrike forskere involverer Sora, IZIH9 og Rekai,” siger CrowdStrike forsker Mihai Maganu i rapporten. “Sammenlignet med 2020 er antallet af identificerede prøver for alle tre varianter steget med henholdsvis 33%, 39% og 83% i 2021.”

En tendens, der fortsætter ind i 2022

Crowstrike-resultaterne er ikke overraskende, da de bekræfter en igangværende tendens, der opstod i de tidligere år.

For eksempel fandt en Intezer-rapport,  der analyserede 2020-statistikker, at Linux-malwarefamilier steg med 40% i 2020 sammenlignet med det foregående år.

Linux malware familier opdaget i de seneste år.
Kilde: Intezer

I de første seks måneder af 2020 blev der registreret en stejl stigning på 500% i Golang malware, der viser, at malware-forfattere ledte efter måder at få deres kode til at køre på flere platforme.

Denne programmering og dermed målretningstendensen er allerede blevet bekræftet i starten af 2020 og vil sandsynligvis fortsætte med uformindsket styrke.

Kilde: Crowdstrike
Fotokredit: stock.adobe.com

Scroll to Top