Prije nekoliko dana Microsoft je objavio vijest o DDoS malveru pod nazivom "XorDdos" koji cilja Linux krajnje tačke i servere. Microsoft je saopštio da je otkrio ranjivosti koje omogućavaju ljudima koji kontrolišu mnoge Linux desktop sisteme da brzo dobiju sistemska prava.
Microsoft zapošljava neke od najboljih istraživača sigurnosti na svijetu, redovno otkrivajući i popravljajući važne ranjivosti, često prije nego što se koriste u ekosistemima.
“Ovo otkriće zapravo dokazuje ono što je svako ko ima pojma već znao: ne postoji ništa u vezi s Linuxom što ga čini inherentno pouzdanijim od Windowsa. XorDdos
“Tokom posljednjih šest mjeseci, vidjeli smo 254% povećanje aktivnosti za Linux trojanac koji se zove XorDdos,” kaže Microsoft. Još jedna mana koja dokazuje da u Linuxu nema ničega što ga čini inherentno pouzdanijim od Windowsa?
Sami DDoS napadi mogu biti veoma problematični iz mnogo razloga, ali i ovi napadi mogu se koristiti kao maska za skrivanje drugih zlonamjernih aktivnosti, kao što je implementacija zlonamjernog softvera i infiltracija ciljnih sistema. Korištenje botneta za izvođenje DDoS napada može potencijalno stvoriti značajan poremećaj, kao što je DDoS napad od 2,4 Tbps koji je Microsoft ublažio u avgustu 2021.
Botneti se također mogu koristiti za kompromitaciju drugih uređaja, a poznato je da XorDdos koristi napade grube sile Secure Shell (SSH) za preuzimanje kontrole nad ciljnim uređajima na daljinu. SSH je jedan od najčešćih protokola u IT infrastrukturama i omogućava šifrovanu komunikaciju preko nesigurnih mreža u cilju upravljanja udaljenim sistemima, što ga čini atraktivnim vektorom za napadače.
Nakon što XorDdos identificira važeće SSH vjerodajnice, koristi root privilegije za pokretanje skripte koja preuzima i instalira XorDdos na ciljni uređaj.
XorDdos koristi mehanizme izbjegavanja i perzistentnosti koji održavaju svoje operacije robusnim i prikrivenim. Njegove mogućnosti izbjegavanja uključuju prikrivanje aktivnosti zlonamjernog softvera, izbjegavanje mehanizama za otkrivanje zasnovanih na pravilima i pretragu zlonamjernih datoteka zasnovanu na hash-u, kao i korištenje anti-forenzičkih tehnika za razbijanje analize zasnovane na stablu procesa.
Microsoft kaže da je to vidio u nedavnim kampanjama XorDdos skriva aktivnost zlonamjernog skeniranja tako što prepisuje osjetljive datoteke nultim bajtom. Također uključuje nekoliko mehanizama postojanosti za podršku različitim distribucijama Linuxa. XorDdos može ilustrirati još jedan trend uočen na različitim platformama, gdje se zlonamjerni softver koristi za stvaranje drugih opasnih prijetnji.
To kaže i Microsoft otkrili da su uređaji koji su prvo zaraženi XorDdos-om kasnije bili zaraženi drugim zlonamjernim softverom, kao backdoor koji zatim implementira XMRig coin rudar.
“Iako nismo primijetili da XorDdos direktno instalira i distribuira sekundarne korisne terete poput Tsunamija, moguće je da se trojanac koristi kao vektor za praćenje aktivnosti,” kaže Microsoft.
XorDdos širi se uglavnom preko SSH grube sile. Koristi zlonamjernu shell skriptu da isproba različite kombinacije root vjerodajnica na hiljadama servera dok ne pronađe podudaranje na ciljnom Linux uređaju. Kao rezultat toga, mnogi neuspjeli pokušaji prijave mogu se vidjeti na uređajima zaraženim zlonamjernim softverom:
Microsoft je odredio dva načina pristupa inicijal XorDdos. Prva metoda je kopiranje zlonamjerne ELF datoteke u privremenu memoriju datoteka /dev/shm i zatim je pokretanje. Fajlovi napisani u /dev/shm se brišu pri ponovnom pokretanju sistema, što omogućava da se izvor infekcije sakrije tokom forenzičke analize.
Druga metoda je da pokrenete bash skriptu koja radi sljedeće preko komandne linije, iterirajte kroz sljedeće mape kako biste pronašli direktorij na koji se može pisati.
Modularna priroda XorDdos-a pruža napadačima svestrani trojanac sposoban da zarazi različite Linux sistemske arhitekture. Njihovi SSH brute force napadi su relativno jednostavna, ali efikasna tehnika za dobijanje root pristupa na brojnim potencijalnim ciljevima.
Sposoban za krađu osjetljivih podataka, instaliranje rootkit uređaja, korištenje različitih mehanizama izbjegavanja i postojanosti i izvođenje DDoS napada, XorDdos omogućava hakerima da stvore potencijalno značajne poremećaje u ciljanim sistemima. Dodatno, XorDdos se može koristiti za uvođenje drugih opasnih prijetnji ili za pružanje vektora za praćenje aktivnosti.
Prema Microsoftu, korištenjem uvida iz ugrađenih podataka o prijetnjama, uključujući heuristiku klijenta i oblaka, modele strojnog učenja, analizu memorije i praćenje ponašanja, Microsoft Defender za krajnju točku može otkriti i sanirati XorDdos i njegove modularne višestepene napade.
Na kraju, ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.