قبل بضعة أيام أصدرت Microsoft الأخبار المتعلقة ببرنامج DDoS الضار المسمى "XorDdos" التي تستهدف نقاط نهاية وخوادم Linux. قالت Microsoft إنها اكتشفت نقاط ضعف تسمح للأشخاص الذين يتحكمون في العديد من أنظمة سطح المكتب في Linux بالحصول على حقوق النظام بسرعة.
توظف Microsoft بعضًا من أفضل الباحثين في مجال الأمان في العالم ، ويكتشفون بانتظام ويصلحون الثغرات الأمنية المهمة ، غالبًا قبل استخدامها في النظم البيئية.
"ما يثبته هذا الاكتشاف في الواقع هو ما يعرفه بالفعل أي شخص لديه نصف فكرة: لا يوجد شيء في Linux يجعله أكثر موثوقية بطبيعته من Windows. XorDdos
تقول Microsoft: "على مدار الأشهر الستة الماضية ، شهدنا زيادة بنسبة 254٪ في نشاط أحد برامج Linux Trojan المسمى XorDdos". عيب آخر يثبت أنه لا يوجد شيء في Linux يجعله أكثر موثوقية بطبيعته من Windows؟
يمكن أن تكون هجمات DDoS وحدها مشكلة كبيرة لأسباب عديدة ، لكن هذه الهجمات أيضًا يمكن استخدامها كغطاء لإخفاء أنشطة ضارة أخرى ، مثل نشر البرامج الضارة واختراق الأنظمة المستهدفة. يمكن أن يؤدي استخدام الروبوتات لإجراء هجمات DDoS إلى حدوث اضطراب كبير ، مثل هجوم DDoS بسرعة 2,4 تيرا بايت في الثانية والذي خففته شركة Microsoft في أغسطس 2021.
يمكن أيضًا استخدام شبكات البوت نت لاختراق الأجهزة الأخرى، ومن المعروف أن يستخدم XorDdos هجمات القوة الغاشمة Secure Shell (SSH) للتحكم في الأجهزة المستهدفة عن بعد. SSH هو أحد البروتوكولات الأكثر شيوعًا في البنى التحتية لتكنولوجيا المعلومات ويسمح بالاتصالات المشفرة عبر الشبكات غير الآمنة من أجل إدارة الأنظمة البعيدة ، مما يجعله ناقلًا جذابًا للمهاجمين.
بعد أن يحدد XorDdos بيانات اعتماد SSH الصالحة ، فإنه يستخدم امتيازات الجذر لتشغيل برنامج نصي يقوم بتنزيل XorDdos وتثبيته على الجهاز الهدف.
يستخدم XorDdos آليات التملص والمثابرة التي تحافظ على عملياتهم قوية ومتخفية. تتضمن قدرات التهرب الخاصة به التعتيم على أنشطة البرامج الضارة ، والتهرب من آليات الكشف المستندة إلى القواعد ، والبحث المستند إلى التجزئة عن الملفات الضارة ، فضلاً عن استخدام تقنيات مكافحة الطب الشرعي لكسر عملية التحليل المستند إلى شجرة.
تقول Microsoft إنها رأت في الحملات الأخيرة أن XorDdos يخفي نشاط المسح الضار عن طريق الكتابة فوق الملفات الحساسة ببايت فارغ. يتضمن أيضًا العديد من آليات الثبات لدعم توزيعات Linux المختلفة. قد يوضح XorDdos اتجاهًا آخر لوحظ عبر منصات مختلفة ، حيث يتم استخدام البرامج الضارة لتوليد تهديدات خطيرة أخرى.
مايكروسوفت تقول ذلك أيضًا اكتشف أن الأجهزة المصابة بـ XorDdos أولاً أصيبت لاحقًا ببرامج ضارة أخرى ، باعتباره الباب الخلفي الذي يتم تنفيذه بعد ذلك بواسطة عامل منجم العملة XMRig.
"على الرغم من أننا لم نلاحظ قيام XorDdos بتثبيت وتوزيع الحمولات الثانوية مثل تسونامي ، فمن الممكن أن يتم استخدام حصان طروادة كمتجه لتتبع الأنشطة" ، كما تقول Microsoft.
XorDdos ينتشر بشكل رئيسي عن طريق القوة الغاشمة SSH. يستخدم برنامج نصي شيل خبيث لتجربة مجموعات مختلفة من أوراق اعتماد الجذر على آلاف الخوادم حتى يجد تطابقًا على جهاز Linux مستهدف. نتيجة لذلك ، يمكن رؤية العديد من محاولات تسجيل الدخول الفاشلة على الأجهزة المصابة بالبرامج الضارة:
حددت Microsoft طريقتين من طرق الوصول الأولي من XorDdos. الطريقة الأولى هي نسخ ملف ELF ضار إلى مخزن الملفات المؤقت / dev / shm ثم تشغيله. يتم حذف الملفات المكتوبة إلى / dev / shm عند إعادة تشغيل النظام ، مما يسمح بإخفاء مصدر العدوى أثناء تحليل الطب الشرعي.
الطريقة الثانية هي تشغيل برنامج نصي bash يقوم بما يلي عبر سطر الأوامر ، والتكرار من خلال المجلدات التالية للعثور على دليل قابل للكتابة.
توفر الطبيعة المعيارية لـ XorDdos للمهاجمين حصان طروادة متعدد الاستخدامات قادر على إصابة مجموعة متنوعة من بنيات نظام Linux. تعد هجمات القوة الغاشمة SSH الخاصة بهم تقنية بسيطة نسبيًا ولكنها فعالة للحصول على الوصول إلى الجذر على عدد من الأهداف المحتملة.
قادرًا على سرقة البيانات الحساسة ، وتثبيت جهاز rootkit ، واستخدام مختلف آليات التهرب والمثابرة ، وتنفيذ هجمات DDoS ، يسمح XorDdos للمتسللين بإحداث اضطرابات كبيرة محتملة في الأنظمة المستهدفة. بالإضافة إلى ذلك ، يمكن استخدام XorDdos لإدخال تهديدات خطيرة أخرى أو توفير ناقل لأنشطة التتبع.
وفقًا لمايكروسوفت ، من خلال الاستفادة من الرؤى من بيانات التهديدات المضمنة ، بما في ذلك الاستدلال على العميل والسحابة ، ونماذج التعلم الآلي ، وتحليل الذاكرة ، والمراقبة السلوكية ، يمكن لـ Microsoft Defender for Endpoint اكتشاف XorDdos وهجماته المعيارية متعددة المراحل ومعالجتها.
وأخيرا، إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.