鎖定Linux平臺的惡意程式在2021年增加了35%

美國資安業者CrowdStrike本周揭露了2021年的Linux惡意程式狀況，指出去年鎖定Linux平臺的惡意程式數量比2020年增加了35%，其中光是XorDDoS、Mirai與Mozi三大惡意程式家族就占了22%。

有鑑於Linux既具彈性又有多元的各種版本，因而適用於不同的硬體設計，例如目前全球大多數的雲端基礎設施與網頁伺服器都採用Linux，且它同時也是行動裝置與物聯網（IoT）裝置的主要平臺，其中，缺乏充分安全保護的行動及物聯網裝置，則替駭客帶來了大量的開採機會，例如採用固定憑證、開放傳輸埠或未修補的安全漏洞等。根據估計，全球的物聯網裝置數量到了2025年，將會超過300億臺。

去年三大Linux惡意程式家族之一的XorDDoS為一木馬程式，它鎖定基於Arm、x86與x64等平臺的Linux架構，主要藉由SSH暴力破解攻擊取得物聯網裝置的遠端控制權；有些變種會掃描及搜尋開啟2375傳輸埠的Docker伺服器，因為該傳輸埠提供了未加密的Docker插槽及無需密碼的遠端存取，因而遭到駭客濫用。與2020年相較，XorDDoS去年的樣本數增加了123%。

至於Mozi則是一端對端的殭屍網路惡意程式，它藉由分散式雜湊表（DHT）系統來部署自己的擴充DHT，DHT所具備的分散式與去中心化查找功能，讓Mozi得以將C2C流量藏匿在大量的DHT合法流量中，利用DHT也能讓Mozi快速壯大其殭屍網路。Mozi也是透過暴力破解SSH及Telnet傳輸埠來入侵系統，隨後還會封鎖這些傳輸埠以避免被其它惡意程式取代。Mozi去年的樣本數多達前一年的10倍。

2016年問世的Mirai在原始碼被公布後就一直流竄迄今，已出現數不清的變種，堪稱是今日各種Linux DDoS惡意程式的共同祖先，也讓它依舊身居主要Linux惡意程式之一。

CrowdStrike亦公布了上述三大Linux惡意程式家族的入侵指標供外界參考。