Ça fait quelques jours Microsoft a publié la nouvelle d'un malware DDoS appelé "XorDdos" qui cible les points de terminaison et les serveurs Linux. Microsoft a déclaré avoir découvert des vulnérabilités qui permettent aux personnes qui contrôlent de nombreux systèmes de bureau Linux d'obtenir rapidement des droits système.
Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvrant et corrigeant régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes.
«Ce que cette découverte prouve en fait, c'est ce que quiconque ayant un demi-indice savait déjà: il n'y a rien à propos de Linux qui le rend intrinsèquement plus fiable que Windows. XorDdos
"Au cours des six derniers mois, nous avons constaté une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos", déclare Microsoft. Un autre défaut qui prouve qu'il n'y a rien dans Linux qui le rend intrinsèquement plus fiable que Windows ?
Les attaques DDoS seules peuvent être très problématiques pour de nombreuses raisons, mais ces attaques aussi ils peuvent être utilisés comme couverture pour cacher d'autres activités malveillantes, tels que le déploiement de logiciels malveillants et l'infiltration des systèmes cibles. L'utilisation d'un botnet pour mener des attaques DDoS peut potentiellement créer des perturbations importantes, telles que l'attaque DDoS de 2,4 Tbps que Microsoft a atténuée en août 2021.
Les botnets peuvent également être utilisés pour compromettre d'autres appareils, et on sait que XorDdos utilise les attaques par force brute de Secure Shell (SSH) pour prendre le contrôle des appareils cibles à distance. SSH est l'un des protocoles les plus courants dans les infrastructures informatiques et permet des communications cryptées sur des réseaux non sécurisés afin de gérer des systèmes distants, ce qui en fait un vecteur attractif pour les attaquants.
Une fois que XorDdos a identifié les informations d'identification SSH valides, il utilise les privilèges root pour exécuter un script qui télécharge et installe XorDdos sur le périphérique cible.
XorDdos utilise des mécanismes d'évasion et de persistance qui maintiennent leurs opérations robustes et furtives. Ses capacités d'évasion incluent l'obscurcissement des activités malveillantes, l'évasion des mécanismes de détection basés sur des règles et la recherche basée sur le hachage des fichiers malveillants, ainsi que l'utilisation de techniques anti-légales pour briser l'analyse basée sur l'arborescence des processus.
Microsoft dit avoir vu dans des campagnes récentes que XorDdos masque les activités d'analyse malveillantes en écrasant les fichiers sensibles avec un octet nul. Il comprend également plusieurs mécanismes de persistance pour prendre en charge différentes distributions Linux. XorDdos peut illustrer une autre tendance observée sur diverses plates-formes, où les logiciels malveillants sont utilisés pour générer d'autres menaces dangereuses.
Microsoft dit aussi que a constaté que les appareils infectés par XorDdos étaient d'abord infectés par d'autres logiciels malveillants, comme la porte dérobée qui est ensuite mise en œuvre par le mineur de pièces XMRig.
"Bien que nous n'ayons pas observé XorDdos installer et distribuer directement des charges utiles secondaires comme Tsunami, il est possible que le cheval de Troie soit utilisé comme vecteur pour suivre les activités", déclare Microsoft.
XorDdos se propage principalement via la force brute SSH. Il utilise un script shell malveillant pour essayer diverses combinaisons d'informations d'identification racine sur des milliers de serveurs jusqu'à ce qu'il trouve une correspondance sur un périphérique Linux cible. Par conséquent, de nombreuses tentatives de connexion infructueuses peuvent être observées sur les appareils infectés par le logiciel malveillant :
Microsoft a déterminé deux des méthodes d'accès initiale de XorDdos. La première méthode consiste à copier un fichier ELF malveillant dans le stockage de fichiers temporaires /dev/shm, puis à l'exécuter. Les fichiers écrits dans /dev/shm sont supprimés au redémarrage du système, ce qui permet de masquer la source d'infection lors de l'analyse médico-légale.
La deuxième méthode consiste à exécuter un script bash qui effectue les opérations suivantes via la ligne de commande, itérer dans les dossiers suivants pour trouver un répertoire accessible en écriture.
La nature modulaire de XorDdos fournit aux attaquants un cheval de Troie polyvalent capable d'infecter une variété d'architectures système Linux. Leurs attaques par force brute SSH sont une technique relativement simple mais efficace pour obtenir un accès root sur un certain nombre de cibles potentielles.
Capable de voler des données sensibles, d'installer un appareil rootkit, d'utiliser divers mécanismes d'évasion et de persistance et d'effectuer des attaques DDoS, XorDdos permet aux pirates de créer des perturbations potentiellement importantes sur les systèmes cibles. De plus, XorDdos peut être utilisé pour introduire d'autres menaces dangereuses ou fournir un vecteur pour le suivi des activités.
Selon Microsoft, en tirant parti des informations des données de menace intégrées, y compris l'heuristique client et cloud, les modèles d'apprentissage automatique, l'analyse de la mémoire et la surveillance comportementale, Microsoft Defender pour Endpoint peut détecter et corriger XorDdos et ses attaques modulaires en plusieurs étapes.
Enfin, si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.