Μερικές μέρες πριν Η Microsoft ανακοίνωσε τα νέα σχετικά με ένα κακόβουλο λογισμικό DDoS που ονομάζεται "XorDdos" που στοχεύει τελικά σημεία και διακομιστές Linux. Η Microsoft είπε ότι ανακάλυψε τρωτά σημεία που επιτρέπουν στους ανθρώπους που ελέγχουν πολλά επιτραπέζια συστήματα Linux να αποκτήσουν γρήγορα δικαιώματα συστήματος.
Η Microsoft απασχολεί μερικούς από τους καλύτερους ερευνητές ασφαλείας στον κόσμο, ανακαλύπτοντας και επιδιορθώνοντας σημαντικά τρωτά σημεία σε τακτική βάση, συχνά προτού χρησιμοποιηθούν στα οικοσυστήματα.
«Αυτό που στην πραγματικότητα δείχνει αυτή η ανακάλυψη είναι αυτό που γνώριζε ήδη όποιος είχε μισή ιδέα: δεν υπάρχει τίποτα στο Linux που να το κάνει εγγενώς πιο αξιόπιστο από τα Windows. XorDdos
«Τους τελευταίους έξι μήνες, έχουμε δει μια αύξηση 254% στη δραστηριότητα από έναν Trojan Linux που ονομάζεται XorDdos», λέει η Microsoft. Ένα άλλο ελάττωμα που αποδεικνύει ότι δεν υπάρχει τίποτα στο Linux που να το κάνει εγγενώς πιο αξιόπιστο από τα Windows;
Οι επιθέσεις DDoS από μόνες τους μπορεί να είναι πολύ προβληματικές για πολλούς λόγους, αλλά και αυτές οι επιθέσεις μπορεί να χρησιμοποιηθεί ως κάλυμμα για την απόκρυψη άλλων κακόβουλων δραστηριοτήτων, όπως η ανάπτυξη κακόβουλου λογισμικού και η διείσδυση σε συστήματα στόχων. Η χρήση ενός botnet για την εκτέλεση επιθέσεων DDoS μπορεί ενδεχομένως να δημιουργήσει σημαντική αναστάτωση, όπως η επίθεση DDoS των 2,4 Tbps που μετριάστηκε η Microsoft τον Αύγουστο του 2021.
Τα botnet μπορούν επίσης να χρησιμοποιηθούν για να παραβιάσουν άλλες συσκευές, και είναι γνωστό ότι Το XorDdos χρησιμοποιεί επιθέσεις ωμής βίας Secure Shell (SSH) για τον έλεγχο των συσκευών-στόχων από απόσταση. Το SSH είναι ένα από τα πιο κοινά πρωτόκολλα σε υποδομές πληροφορικής και επιτρέπει κρυπτογραφημένες επικοινωνίες μέσω μη ασφαλών δικτύων με σκοπό τη διαχείριση απομακρυσμένων συστημάτων, καθιστώντας το ελκυστικό φορέα για εισβολείς.
Αφού το XorDdos αναγνωρίσει έγκυρα διαπιστευτήρια SSH, χρησιμοποιεί δικαιώματα root για να εκτελέσει ένα σενάριο που κατεβάζει και εγκαθιστά το XorDdos στη συσκευή προορισμού.
Το XorDdos χρησιμοποιεί μηχανισμούς διαφυγής και επιμονής που διατηρούν τις λειτουργίες σας ισχυρές και κρυφές. Οι δυνατότητές του για αποφυγή περιλαμβάνουν τη συσκότιση δραστηριοτήτων κακόβουλου λογισμικού, την αποφυγή μηχανισμών ανίχνευσης βάσει κανόνων και την αναζήτηση κακόβουλων αρχείων βάσει κατακερματισμού, καθώς και τη χρήση τεχνικών κατά της εγκληματολογίας για τη διακοπή της ανάλυσης που βασίζεται σε δέντρα.
Η Microsoft λέει ότι έχει παρατηρήσει σε πρόσφατες καμπάνιες ότι Το XorDdos κρύβει κακόβουλη δραστηριότητα σάρωσης αντικαθιστώντας ευαίσθητα αρχεία με ένα μηδενικό byte. Περιλαμβάνει επίσης διάφορους μηχανισμούς επιμονής για την υποστήριξη διαφορετικών διανομών Linux. Το XorDdos μπορεί να απεικονίσει μια άλλη τάση που παρατηρείται σε διάφορες πλατφόρμες, όπου χρησιμοποιείται κακόβουλο λογισμικό για την παροχή άλλων επικίνδυνων απειλών.
Το λέει και η Microsoft ανακάλυψε ότι οι συσκευές που μολύνθηκαν αρχικά με XorDdos μολύνθηκαν αργότερα με άλλο κακόβουλο λογισμικό, ως το backdoor που στη συνέχεια υλοποιείται από τον εξορύκτη νομισμάτων XMRig.
"Αν και δεν έχουμε παρατηρήσει το XorDdos να εγκαθιστά και να διανέμει απευθείας δευτερεύοντα ωφέλιμα φορτία όπως το τσουνάμι, είναι πιθανό ο Trojan να χρησιμοποιείται ως φορέας παρακολούθησης δραστηριοτήτων", λέει η Microsoft.
XorDdos εξαπλώνεται κυρίως μέσω της ωμής βίας SSH. Χρησιμοποιεί ένα κακόβουλο σενάριο κελύφους για να δοκιμάσει διάφορους συνδυασμούς διαπιστευτηρίων root σε χιλιάδες διακομιστές μέχρι να βρει ένα ταίριασμα σε μια συσκευή Linux-στόχου. Ως αποτέλεσμα, πολλές αποτυχημένες προσπάθειες σύνδεσης μπορούν να παρατηρηθούν σε συσκευές που έχουν μολυνθεί με το κακόβουλο λογισμικό:
Η Microsoft έχει καθορίσει δύο από τις μεθόδους πρόσβασης αρχικό του XorDdos. Η πρώτη μέθοδος είναι να αντιγράψετε ένα κακόβουλο αρχείο ELF στην προσωρινή αποθήκευση αρχείων /dev/shm και στη συνέχεια να το εκτελέσετε. Τα αρχεία που είναι γραμμένα στο /dev/shm αφαιρούνται κατά την επανεκκίνηση του συστήματος, επιτρέποντας την απόκρυψη της πηγής μόλυνσης κατά τη διάρκεια της εγκληματολογίας.
Η δεύτερη μέθοδος είναι να εκτελέσετε ένα σενάριο bash που εκτελεί τις ακόλουθες δραστηριότητες μέσω της γραμμής εντολών, επαναλάβετε τους παρακάτω φακέλους για να βρείτε έναν εγγράψιμο κατάλογο.
Η αρθρωτή φύση του XorDdos παρέχει στους εισβολείς έναν ευέλικτο Trojan ικανό να μολύνει μια ποικιλία αρχιτεκτονικών συστημάτων Linux. Οι επιθέσεις brute force SSH είναι μια σχετικά απλή αλλά αποτελεσματική τεχνική για την απόκτηση πρόσβασης root σε έναν αριθμό πιθανών στόχων.
Με δυνατότητα κλοπής ευαίσθητων δεδομένων, εγκατάστασης συσκευής rootkit, χρήσης διάφορων μηχανισμών αποφυγής και επιμονής και εκτέλεσης επιθέσεων DDoS, το XorDdos επιτρέπει στους χάκερ να δημιουργούν δυνητικά σημαντικές διακοπές στα συστήματα στόχων. Επιπλέον, το XorDdos μπορεί να χρησιμοποιηθεί για την εισαγωγή άλλων επικίνδυνων απειλών ή για την παροχή ενός φορέα για την παρακολούθηση δραστηριοτήτων.
Σύμφωνα με τη Microsoft, αξιοποιώντας πληροφορίες που προέρχονται από ενσωματωμένα δεδομένα απειλών, συμπεριλαμβανομένων ευρετικών cloud και πελατών, μοντέλων μηχανικής εκμάθησης, ανάλυσης μνήμης και παρακολούθησης συμπεριφοράς, το Microsoft Defender for Endpoint είναι σε θέση να ανιχνεύει και να αποκαθιστά το XorDdos και τις πολυσταδιακές, αρθρωτές επιθέσεις του.
Τέλος, αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.