恶意软件的剧增引起了微软公司的注意

在微软发布报告称在过去的6个月中，检测到Linux木马XorDDoS的攻击活动激增了254%。XorDdos于2014年首次被发现，其名称源于其针对Linux的拒绝服务攻击，以及在通信中使用基于XOR的加密。该恶意软件使用了多种绕过机制和保持持久性的策略，使其难以被清除。微软在近期的活动中观察到，它还通过用空字节覆盖敏感文件来隐藏恶意活动以防止被分析。此外，除了发起DDoS攻击外，XorDDoS还被用来安装其它恶意软件，如后门Tsunami等。

Linux为当今的大多数云基础设施和Web服务器提供支持，也为移动和物联网设备提供支持。安全公司CrowdStrike在最新发布的一份报告中指出，针对通常部署在物联网(IoT)设备中的基于Linux的操作系统的恶意软件在2021年比2020年增加了35%，前三大恶意软件家族在2021年占所有基于Linux的IoT恶意软件的22%。

微软365Defender研究团队表示，它的规避能力包括混淆恶意软件的活动、规避基于规则的检测机制和基于哈希的恶意文件查找，以及使用反取证技术来破坏基于进程树的分析。“我们在最近的活动中观察到，XorDdos通过用空字节覆盖敏感文件来隐藏恶意活动以防止分析。”

XorDDoS、Mirai和Mozi是最流行的攻击种类，占2021年观察到的所有针对Linux设备的恶意软件攻击的22%。在这三者中，CrowdStrike表示XorDDoS同比显着增长了123%，而Mozi的活动呈爆炸式增长，去年全年在野检测到的样本数量增加了10倍。Intezer 2021年2月的一份报告显示，与2019年相比，2020年Linux恶意软件种类增加了约40%。

在Linux机器上，XorDDoS的一些变体显示其操作员扫描并搜索2375端口打开的Docker服务器。这个端口提供了一个未加密的Docker套接字和对主机的远程root无密码访问，攻击者可以滥用它来获得对机器的root访问权限。

CrowdStrike研究人员发现，与2020年相比，整个2021年XorDDoS恶意软件样本的数量增加了近123%。其中，XorDDoS是针对多种Linux架构（从ARM到x86和x64）编译的Linux木马。它的名字来源于在恶意软件和网络通信中使用XOR加密到C2基础设施。在以物联网设备为目标时，已知该木马会使用SSH暴力攻击来远程控制易受攻击的设备。