Před pár dny Microsoft zveřejnil zprávu o malwaru DDoS s názvem „XorDdos“ který se zaměřuje na linuxové koncové body a servery. Microsoft uvedl, že objevil zranitelnosti, které umožňují lidem, kteří ovládají mnoho linuxových desktopových systémů, rychle získat systémová práva.
Společnost Microsoft zaměstnává některé z nejlepších bezpečnostních výzkumníků na světě, kteří pravidelně objevují a opravují důležité zranitelnosti, často ještě před jejich použitím v ekosystémech.
„To, co tento objev ve skutečnosti dokazuje, je to, co už věděl každý, kdo má alespoň tušení: v Linuxu není nic, co by jej ze své podstaty činilo spolehlivějším než Windows. XorDdos
„Za posledních šest měsíců jsme zaznamenali 254% nárůst aktivity pro linuxový trojský kůň s názvem XorDdos,“ říká Microsoft. Další chyba, která dokazuje, že v Linuxu není nic, co by jej ze své podstaty činilo spolehlivějším než Windows?
Samotné DDoS útoky mohou být velmi problematické z mnoha důvodů, ale také tyto útoky mohou být použity jako kryt pro skrytí dalších škodlivých aktivit, jako je rozmístění malwaru a infiltrace cílových systémů. Použití botnetu k provádění útoků DDoS může potenciálně způsobit významné narušení, jako je útok DDoS rychlostí 2,4 Tb/s, který Microsoft zmírnil v srpnu 2021.
Botnety lze také použít ke kompromitaci jiných zařízení, a to se ví XorDdos používá útoky hrubou silou Secure Shell (SSH), abyste mohli vzdáleně ovládat cílová zařízení. SSH je jedním z nejběžnějších protokolů v IT infrastrukturách a umožňuje šifrovanou komunikaci přes nezabezpečené sítě za účelem správy vzdálených systémů, což z něj činí atraktivní vektor pro útočníky.
Poté, co XorDdos identifikuje platná pověření SSH, použije práva root ke spuštění skriptu, který stáhne a nainstaluje XorDdos na cílové zařízení.
XorDdos využívá mechanismy vyhýbání se a persistenci které udržují jejich operace robustní a nenápadné. Mezi jeho únikové schopnosti patří znejasnění aktivit malwaru, obcházení detekčních mechanismů založených na pravidlech a vyhledávání škodlivých souborů na základě hash, stejně jako použití anti-forenzních technik k prolomení analýzy založené na stromech procesů.
Microsoft říká, že to viděl v nedávných kampaních XorDdos skrývá škodlivé aktivity skenování přepsáním citlivých souborů prázdným bajtem. Obsahuje také několik mechanismů persistence pro podporu různých distribucí Linuxu. XorDdos může ilustrovat další trend pozorovaný na různých platformách, kde se malware používá ke generování dalších nebezpečných hrozeb.
To tvrdí i Microsoft zjistili, že zařízení infikovaná nejprve XorDdos byla později infikována jiným malwarem, jako zadní vrátka, které pak implementuje mincovník XMRig.
„Ačkoli jsme nepozorovali, že by XorDdos přímo instaloval a distribuoval sekundární užitečné zatížení, jako je Tsunami, je možné, že trojský kůň je používán jako vektor pro sledování aktivit,“ říká Microsoft.
XorDdos se šíří především prostřednictvím SSH hrubou silou. Využívá škodlivý shell skript ke zkoušení různých kombinací pověření root na tisících serverů, dokud nenajde shodu na cílovém zařízení se systémem Linux. V důsledku toho lze na zařízeních infikovaných malwarem zaznamenat mnoho neúspěšných pokusů o přihlášení:
Společnost Microsoft určila dvě metody přístupu iniciála XorDdos. První metodou je zkopírovat škodlivý soubor ELF do dočasného úložiště souborů /dev/shm a poté jej spustit. Soubory zapsané do /dev/shm jsou odstraněny při restartu systému, což umožňuje skrytí zdroje infekce během forenzní analýzy.
Druhou metodou je spuštění bash skriptu, který provede následující pomocí příkazového řádku, iteruje následující složky, aby našel zapisovatelný adresář.
Modulární povaha XorDdos poskytuje útočníkům všestranného trojského koně schopného infikovat různé systémové architektury Linuxu. Jejich útoky hrubou silou SSH jsou relativně jednoduchou, ale účinnou technikou pro získání přístupu root na řadu potenciálních cílů.
XorDdos, který je schopen krást citlivá data, instalovat zařízení s rootkitem, používat různé mechanismy pro únik a perzistenci a provádět DDoS útoky, umožňuje hackerům vytvářet potenciálně významná narušení cílových systémů. Kromě toho lze XorDdos použít k zavedení dalších nebezpečných hrozeb nebo poskytnout vektor pro sledování aktivit.
Podle Microsoftu dokáže Microsoft Defender for Endpoint odhalit a napravit XorDdos a jeho modulární vícefázové útoky, a to využitím poznatků z vestavěných dat o hrozbách, včetně klientské a cloudové heuristiky, modelů strojového učení, analýzy paměti a monitorování chování.
Konečně, pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.