XorDdos, en malware opdaget af Microsoft, og som angriber Linux

For nogle dage siden Microsoft udgav nyheden om en DDoS malware kaldet "XorDdos" som er målrettet mod Linux-endepunkter og servere. Microsoft sagde, at det opdagede sårbarheder, der gør det muligt for folk, der kontrollerer mange Linux-desktopsystemer, hurtigt at få systemrettigheder.

Microsoft beskæftiger nogle af de bedste sikkerhedsforskere i verden, som regelmæssigt opdager og retter vigtige sårbarheder, ofte før de bruges i økosystemer.

"Det, denne opdagelse faktisk beviser, er, hvad alle med en halv anelse allerede vidste: Der er intet ved Linux, der gør det i sagens natur mere pålideligt end Windows. XorDdos

"I løbet af de sidste seks måneder har vi set en stigning på 254 % i aktiviteten for en Linux-trojaner kaldet XorDdos," siger Microsoft. En anden fejl, der beviser, at der ikke er noget i Linux, der gør det mere pålideligt end Windows?

DDoS-angreb alene kan være meget problematiske af mange grunde, men også disse angreb de kan bruges som et dække for at skjule andre ondsindede aktiviteter, såsom udrulning af malware og infiltration af målsystemer. Brug af et botnet til at udføre DDoS-angreb kan potentielt skabe betydelige forstyrrelser, såsom det 2,4 Tbps DDoS-angreb, som Microsoft afbød i august 2021.

Botnets kan også bruges til at kompromittere andre enheder, og det er kendt XorDdos bruger Secure Shell brute force angreb (SSH) for at tage kontrol over målenheder på afstand. SSH er en af ​​de mest almindelige protokoller i it-infrastrukturer og tillader krypteret kommunikation over usikre netværk for at administrere fjernsystemer, hvilket gør det til en attraktiv vektor for angribere.

Når XorDdos har identificeret gyldige SSH-legitimationsoplysninger, bruger den root-privilegier til at køre et script, der downloader og installerer XorDdos på målenheden.

XorDdos bruger unddragelses- og persistensmekanismer som holder deres drift robust og snigende. Dens unddragelsesmuligheder omfatter sløring af malware-aktiviteter, unddragelse af regelbaserede detektionsmekanismer og hash-baseret søgning efter ondsindede filer samt brugen af ​​anti-kriminaltekniske teknikker til at bryde procestræbaseret analyse.

Microsoft siger, at det har set det i de seneste kampagner XorDdos skjuler ondsindet scanningsaktivitet ved at overskrive følsomme filer med en null-byte. Det inkluderer også flere persistensmekanismer til at understøtte forskellige Linux-distributioner. XorDdos kan illustrere en anden tendens observeret på tværs af forskellige platforme, hvor malware bruges til at generere andre farlige trusler.

Det siger Microsoft også fandt ud af, at enheder, der først var inficeret med XorDdos, senere blev inficeret med anden malware, som bagdøren, som derefter implementeres af XMRig møntminer.

"Selvom vi ikke har observeret XorDdos direkte installere og distribuere sekundære nyttelaster som Tsunami, er det muligt, at trojaneren bliver brugt som en vektor til at spore aktiviteter," siger Microsoft.

XorDdos spreder sig hovedsageligt via SSH brute force. Det bruger et ondsindet shell-script til at prøve forskellige kombinationer af root-legitimationsoplysninger på tusindvis af servere, indtil det finder et match på en Linux-målenhed. Som et resultat kan mange mislykkede loginforsøg ses på enheder, der er inficeret med malwaren:

Microsoft har bestemt to af adgangsmetoderne initial af XorDdos. Den første metode er at kopiere en ondsindet ELF-fil til det midlertidige fillager /dev/shm og derefter køre den. Filer skrevet til /dev/shm slettes ved systemgenstart, hvilket tillader infektionskilden at blive skjult under retsmedicinsk analyse.

Den anden metode er at køre et bash-script, der gør følgende via kommandolinjen, gentag gennem følgende mapper for at finde en skrivbar mappe.

Den modulære karakter af XorDdos giver angribere en alsidig trojaner, der er i stand til at inficere en række forskellige Linux-systemarkitekturer. Deres SSH brute force-angreb er en relativt enkel, men effektiv teknik til at få root-adgang på en række potentielle mål.

XorDdos er i stand til at stjæle følsomme data, installere en rootkit-enhed, bruge forskellige unddragelses- og persistensmekanismer og udføre DDoS-angreb, og tillader hackere at skabe potentielt betydelige forstyrrelser af målsystemer. Derudover kan XorDdos bruges til at introducere andre farlige trusler eller levere en vektor til sporing af aktiviteter.

Ifølge Microsoft kan Microsoft Defender for Endpoint registrere og afhjælpe XorDdos og dets modulære flertrinsangreb ved at udnytte indsigt fra indbyggede trusselsdata, herunder klient- og cloudheuristik, maskinlæringsmodeller, hukommelsesanalyse og adfærdsovervågning.

Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne I det følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.