Linux Kötü Amaçlı Yazılımlarının Bulaş Oranı 2021’de %35 Arttı
Linux cihazlarını hedef alan kötü amaçlı yazılım bulaşmalarının sayısı 2021'de %35 arttı ve çoğunlukla DDoS (dağıtılmış hizmet reddi) saldırıları için IoT cihazlarını işe aldı.
IoT'ler, genellikle çeşitli Linux dağıtımlarını çalıştıran ve belirli işlevlerle sınırlı olan, yeterli güce sahip olmayan "akıllı" cihazlardır. Ancak kaynakları büyük gruplar halinde birleştirildiğinde, iyi korunan altyapıya bile büyük DDoS saldırıları gerçekleştirebilirler.
DDoS'un yanı sıra, Linux IoT cihazları kripto para madenciliği yapmak, spam posta kampanyalarını kolaylaştırmak, röle olarak hizmet etmek, komuta ve kontrol sunucuları olarak hareket etmek ve hatta kurumsal ağlara giriş noktaları olarak hareket etmek için işe alınır.
2021'deki saldırı verilerini inceleyen bir Crowdstrike raporu şunları özetliyor:
- 2021'de, Linux sistemlerini hedefleyen kötü amaçlı yazılımlarda 2020'ye kıyasla %35'lik bir artış oldu.
- XorDDoS, Mirai ve Mozi, 2021'de gözlemlenen tüm Linux hedefli kötü amaçlı yazılım saldırılarının %22'sini oluşturan en yaygın ailelerdi.
- Özellikle Mozi, geçen yıl bir önceki yıla kıyasla vahşi doğada dolaşan on kat daha fazla örnekle, aktivitesinde patlayıcı bir büyümeye sahipti.
- XorDDoS ayrıca bir önceki yıla göre %123'lük kayda değer bir artış kaydetti.
Kötü amaçlı yazılıma genel bakış
XorDDoS, ARM'den (IoT) x64'e (sunucular) kadar birden çok Linux sistem mimarisinde çalışan çok yönlü bir Linux trojanıdır. C2 iletişimleri için XOR şifrelemesini kullanır, dolayısıyla adı.
XorDDoS, IoT cihazlarına saldırırken SSH aracılığıyla savunmasız cihazları kaba kuvvetle çalıştırır. Linux makinelerinde, ana bilgisayara parolasız kök erişimi sağlamak için 2375 numaralı bağlantı noktasını kullanır.
Kötü amaçlı yazılımın dağıtımının kayda değer bir örneği, 2021'de "Winnti" olarak bilinen Çinli bir tehdit aktörünün onu diğer türev botnet'lerle dağıttığı gözlemlendikten sonra gösterildi.
Mozi, şüpheli C2 iletişimlerini ağ trafiği izleme çözümlerinden gizlemek için dağıtılmış karma tablo (DHT) arama sistemine dayanan bir P2P botnet'idir.
Söz konusu botnet, bir süredir sürekli olarak daha fazla güvenlik açığı ekleyerek ve hedefleme kapsamını genişleterek ortalıkta dolaşıyor.
Mirai, IoT dünyasını rahatsız etmeye devam eden herkese açık kaynak kodu nedeniyle sayısız çatal oluşturan kötü şöhretli bir botnettir.
Çeşitli türevler, farklı C2 iletişim protokolleri uygular, ancak bunların tümü, aygıtlara kaba kuvvet uygulamak için tipik olarak zayıf kimlik bilgilerini kötüye kullanır.
Ev yönlendiricilerine odaklanan "Dark Mirai " ve kameraları hedefleyen "Moobot" gibi 2021'de birkaç önemli Mirai varyantını ele aldık .
CrowdStrike araştırmacısı Mihai Maganu raporda "CrowdStrike araştırmacıları tarafından izlenen en yaygın değişkenlerden bazıları Sora, IZIH9 ve Rekai'yi içeriyor" diyor. "2020 ile karşılaştırıldığında, 2021'de her üç varyant için tanımlanan örneklerin sayısı sırasıyla %33, %39 ve %83 arttı."
2022'ye kadar devam eden bir trend
Crowstrike bulguları, önceki yıllarda ortaya çıkan devam eden bir eğilimi doğruladıkları için şaşırtıcı değil.
Örneğin, 2020 istatistiklerini analiz eden bir Intezer raporu, Linux kötü amaçlı yazılım ailelerinin 2020'de bir önceki yıla göre %40 arttığını buldu.
2020'nin ilk altı ayında, Golang kötü amaçlı yazılımlarında %500'lük keskin bir artış kaydedildi ve bu, kötü amaçlı yazılım yazarlarının kodlarını birden fazla platformda çalıştırmanın yollarını aradıklarını gösterdi.
Bu programlama ve buna bağlı olarak hedefleme eğilimi, 2022'nin başlarındaki vakalarda zaten onaylandı ve muhtemelen azalmadan devam edecek.
Kaynak: https://www.bleepingcomputer.com/news/security/linux-malware-sees-35-percent-growth-during-2021/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
