XorDdos, in malware ûntdutsen troch Microsoft en dy't Linux oanfalt

Guon dagen lyn Microsoft publisearre it nijs oer in DDoS-malware mei de namme "XorDdos" dy't rjochtet op Linux-einpunten en servers. Microsoft sei dat it kwetsberens ûntduts wêrtroch minsken dy't in protte Linux-buroblêdsystemen kontrolearje kinne fluch systeemrjochten krije.

Microsoft brûkt guon fan 'e bêste befeiligingsûndersikers yn' e wrâld, dy't regelmjittich wichtige kwetsberens ûntdekke en reparearje, faaks foardat se wurde brûkt yn ekosystemen.

"Wat dizze ûntdekking eins bewiist is wat elkenien mei in heale oanwizing al wist: d'r is neat oer Linux dat it ynherent betrouberer makket as Windows. XorDdos

"Yn 'e lêste seis moannen hawwe wy in ferheging fan 254% yn aktiviteit sjoen foar in Linux Trojan neamd XorDdos," seit Microsoft. In oare flater dy't bewiist dat d'r neat is yn Linux dat it ynherint betrouberer makket dan Windows?

DDoS-oanfallen allinich kinne heul problematysk wêze foar in protte redenen, mar dizze oanfallen ek se kinne brûkt wurde as dekking om oare kweade aktiviteiten te ferbergjen, lykas ynset fan malware en ynfiltraasje fan doelsystemen. It brûken fan in botnet om DDoS-oanfallen út te fieren kin potensjeel signifikante fersteuring meitsje, lykas de 2,4 Tbps DDoS-oanfal dy't Microsoft yn augustus 2021 mitigearre.

Botnets kinne ek brûkt wurde om oare apparaten te kompromittearjen, en it is bekend dat XorDdos brûkt Secure Shell brute force oanfallen (SSH) om kontrôle oer doelapparaten op ôfstân te nimmen. SSH is ien fan 'e meast foarkommende protokollen yn IT-ynfrastruktuer en lit fersifere kommunikaasje oer ûnfeilige netwurken om systemen op ôfstân te behearjen, wêrtroch it in oantreklike fektor is foar oanfallers.

Neidat XorDdos jildige SSH-bewizen identifisearret, brûkt it root-privileezjes om in skript út te fieren dat XorDdos downloade en ynstalleart op it doelapparaat.

XorDdos brûkt ûntwyk- en persistinsjemeganismen dy't har operaasjes robúst en stealthy hâlde. De ûntwykmooglikheden dêrfan omfetsje fertsjustering fan malware-aktiviteiten, ûntdutsen fan regel-basearre deteksjemeganismen, en hash-basearre sykjen nei kweade bestannen, lykas ek it brûken fan anty-forensyske techniken om prosesbeam-basearre analyze te brekken.

Microsoft seit dat it yn resinte kampanjes sjoen hat dat XorDdos ferberget kweade skennenaktiviteit troch gefoelige bestannen te oerskriuwen mei in nulbyte. It omfettet ek ferskate persistinsjemeganismen om ferskate Linux-distribúsjes te stypjen. XorDdos kin in oare trend yllustrearje dy't wurdt waarnommen oer ferskate platfoarms, wêr't malware wurdt brûkt om oare gefaarlike bedrigingen te generearjen.

Microsoft seit dat ek fûn dat apparaten ynfekteare mei XorDdos earst waarden ynfekteare mei oare malware, as de efterdoar dy't dan wurdt ymplementearre troch de XMRig-mynwurker.

"Hoewol't wy XorDdos net direkt ynstalleare en fersprieden fan sekundêre ladingen lykas Tsunami hawwe observearre, is it mooglik dat de Trojan wurdt brûkt as fektor om aktiviteiten te folgjen," seit Microsoft.

XorDdos ferspriedt benammen fia SSH brute krêft. It brûkt in kwea-aardich shell-skript om ferskate root-credential-kombinaasjes te besykjen op tûzenen servers oant it in wedstriid fynt op in doel Linux-apparaat. As resultaat kinne in protte mislearre oanmeldpogingen sjoen wurde op apparaten dy't binne besmet mei de malware:

Microsoft hat twa fan 'e tagongsmetoaden bepaald initial fan XorDdos. De earste metoade is om in kwea-aardich ELF-bestân te kopiearjen nei de tydlike triemopslach /dev/shm en it dan út te fieren. Triemmen skreaun nei /dev/shm wurde wiske by it herstarten fan it systeem, wêrtroch't de ynfeksjeboarne ferburgen wurde kin by forensyske analyze.

De twadde metoade is om in bash-skript út te fieren dat it folgjende docht fia de kommandorigel, iterearje troch de folgjende mappen om in skriuwbere map te finen.

De modulêre aard fan XorDdos biedt oanfallers in alsidige Trojan dy't in ferskaat oan Linux-systeemarsjitektueren kin ynfektearje. Harren SSH brute force oanfallen binne in relatyf ienfâldige, mar effektive technyk foar it krijen fan root tagong op in oantal potinsjele doelen.

Yn steat om gefoelige gegevens te stellen, in rootkit-apparaat te ynstallearjen, ferskate ûntwyk- en persistinsjemeganismen te brûken, en DDoS-oanfallen út te fieren, lit XorDdos hackers potinsjeel signifikante fersteuringen meitsje foar doelsystemen. Derneist kin XorDdos brûkt wurde om oare gefaarlike bedrigingen yn te fieren of in fektor te leverjen foar it folgjen fan aktiviteiten.

Neffens Microsoft kin Microsoft Defender foar Endpoint XorDdos en syn modulêre multi-stage oanfallen detectearje en remediateare troch ynsjoch út ynboude bedrigingsgegevens, ynklusyf client- en wolkheuristyk, masine-learmodellen, ûnthâldanalyse, en gedrachsmonitoring.

As lêste, as jo ynteressearre binne der mear oer te witten, kinne jo de details kontrolearje Yn 'e folgjende link.


De ynhâld fan it artikel hâldt him oan ús prinsipes fan redaksje etyk, Om in flater te melden klikje hjir.

Wês de earste om kommentaar

Lit jo reaksje efter

Jo e-mailadres wurdt net publisearre.

*

*

  1. Ferantwurdlik foar de gegevens: Miguel Ángel Gatón
  2. Doel fan 'e gegevens: Control SPAM, kommentaarbehear.
  3. Legitimaasje: jo tastimming
  4. Kommunikaasje fan 'e gegevens: De gegevens wurde net oan tredden kommunisearre, útsein troch wetlike ferplichting.
  5. Gegevensopslach: Databank hoste troch Occentus Networks (EU)
  6. Rjochten: Op elk momint kinne jo jo ynformaasje beheine, herstelle en wiskje.