Fa alguns dies Microsoft va donar a conèixer la notícia sobre un malware DDoS anomenat XorDdos que es dirigeix als punts finals i servidors de Linux. Microsoft va dir que va descobrir vulnerabilitats que permeten a les persones que controlen molts sistemes descriptori Linux obtenir ràpidament drets de sistema.
Microsoft utilitza alguns dels millors investigadors de seguretat del món, descobreix i corregeix vulnerabilitats importants amb regularitat, sovint abans que s'utilitzin als ecosistemes.
“El que aquest descobriment demostra en realitat és el que qualsevol amb mitja pista ja sabia: no hi ha res a Linux que ho faci intrínsecament més fiable que Windows. XorDdos
"Durant els darrers sis mesos, hem vist un augment del 254% en l'activitat d'un troià de Linux anomenat XorDdos", diu Microsoft. Una altra falla que demostra que no hi ha res a Linux que ho faci intrínsecament més fiable que Windows?
Els atacs DDoS per si mateixos poden ser molt problemàtics per moltes raons, però aquests atacs també es poden utilitzar com una tapadora per amagar altres activitats malicioses, com el desplegament de codi maliciós i la infiltració de sistemes de destinació. L'ús d'una botnet per fer atacs DDoS pot crear potencialment una interrupció significativa, com l'atac DDoS de 2,4 Tbps que Microsoft va mitigar l'agost de 2021.
Les botnets també es poden fer servir per comprometre altres dispositius, i se sap que XorDdos utilitza atacs de força bruta Secure Shell (SSH) per prendre el control dels dispositius objectiu de forma remota. SSH és un dels protocols més comuns a les infraestructures de TI i permet comunicacions xifrades a través de xarxes insegures per tal d'administrar sistemes remots, fet que el converteix en un vector atractiu per als atacants.
Després que XorDdos identifica les credencials de SSH vàlides, utilitzeu els privilegis d'arrel per executar un script que descarrega i instal·la XorDdos al dispositiu de destinació.
XorDdos utilitza mecanismes d'evasió i persistència que mantenen les seves operacions robustes i sigil·loses. Les seves capacitats d'evasió inclouen ofuscació d'activitats de codi maliciós (malware), evasió de mecanismes de detecció basats en regles i recerca d'arxius maliciosos basada en hash, així com l'ús de tècniques anti-forenses per trencar l'anàlisi basat en l'arbre de processos.
Microsoft diu que ha observat en campanyes recents que XorDdos oculta l'activitat maliciosa de l'escaneig sobreescrivint fitxers confidencials amb un byte nul. També inclou diversos mecanismes de persistència per admetre diferents distribucions de Linux. XorDdos pot il·lustrar una altra tendència observada en diverses plataformes, en què s'utilitza codi maliciós (malware) per generar altres amenaces perilloses.
Microsoft també diu que va descobrir que els dispositius infectats primer amb XorDdos després es van infectar amb un altre codi maliciós, com la porta del darrere que després implementa el miner de monedes XMRig.
"Encara que no hem observat que XorDdos instal·li i distribueixi directament càrregues útils secundàries com Tsunami, és possible que el troià s'estigui utilitzant com a vector per rastrejar activitats", diu Microsoft.
XorDdos es propaga principalment a través de la força bruta SSH. Utilitza un script de shell maliciós per provar diverses combinacions de credencials arrel en milers de servidors fins que troba una coincidència en un dispositiu Linux de destinació. Com a resultat, es poden veure molts intents fallits d'inici de sessió en dispositius infectats amb el codi maliciós:
Microsoft ha determinat dos dels mètodes d'accés inicial de XorDdos. El primer mètode és copiar un fitxer ELF maliciós en l'emmagatzematge de fitxers temporals /dev/shm i després executar-lo. Els fitxers escrits a /dev/shm s'eliminen en reiniciar el sistema, cosa que permet ocultar la font d'infecció durant l'anàlisi forense.
El segon mètode és executar un script bash que realitzi les següents activitats a través de la línia d'ordre, iterar a través de les carpetes següents per trobar un directori escrivible.
La naturalesa modular de XorDdos brinda als atacants un troià versàtil capaç d?infectar una varietat d?arquitectures de sistemes Linux. Els seus atacs de força bruta SSH són una tècnica relativament simple però efectiva per obtenir accés d'arrel a una sèrie d'objectius potencials.
Capaç de robar dades confidencials, instal·lar un dispositiu rootkit, utilitzar diversos mecanismes d'evasió i persistència i realitzar atacs DDoS, XorDdos permet als hackers crear interrupcions potencialment significatives en els sistemes de destinació. A més, XorDdos es pot utilitzar per introduir altres amenaces perilloses o proporcionar un vector per a activitats de seguiment.
Segons Microsoft, en aprofitar la informació obtinguda de les dades d'amenaces integrades, incloses les heurístiques de clients i del núvol, els models d'aprenentatge automàtic, l'anàlisi de la memòria i la supervisió del comportament, Microsoft Defender for Endpoint pot detectar i posar remei a XorDdos i els seus atacs modulars de diverses etapes.
Finalment, si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.