Az XorDdos, a Microsoft által felfedezett rosszindulatú program, amely a Linuxot támadja

Néhány napja A Microsoft közzétette a hírt az XorDdos nevű DDoS kártevőről amely Linux végpontokat és szervereket céloz meg. A Microsoft azt mondta, hogy olyan sebezhetőségeket fedezett fel, amelyek lehetővé teszik, hogy a sok Linux asztali rendszert vezérlő felhasználók gyorsan megszerezzék a rendszerjogokat.

A Microsoft a világ legjobb biztonsági kutatóit alkalmazza, akik rendszeresen felfedezik és kijavítják a fontos sebezhetőségeket, gyakran még azelőtt, hogy azokat az ökoszisztémákban felhasználnák.

„Amit ez a felfedezés valójában bizonyít, az az, amit bárki, akinek csak fél fogalma van, már tudott: a Linuxban semmi sem teszi megbízhatóbbá, mint a Windows. XorDdos

„Az elmúlt hat hónapban 254%-os növekedést tapasztaltunk az XorDdos nevű Linux-trójai tevékenységében” – mondja a Microsoft. Egy másik hiba, amely azt bizonyítja, hogy a Linuxban semmi sem teszi megbízhatóbbá, mint a Windows?

A DDoS támadások önmagukban nagyon problémásak lehetnek sok okból, de ezek a támadások is fedőként használhatók más rosszindulatú tevékenységek elrejtésére, mint például a rosszindulatú programok telepítése és a célrendszerekbe való beszivárgás. Ha botnetet használ DDoS-támadások végrehajtására, az jelentős fennakadást okozhat, például a 2,4 Tbps sebességű DDoS-támadást, amelyet a Microsoft 2021 augusztusában mérsékelt.

A botneteket más eszközök kompromittálására is fel lehet használni, és ez köztudott Az XorDdos Secure Shell brute force támadásokat használ (SSH) segítségével távolról átveheti a céleszközök irányítását. Az SSH az egyik legelterjedtebb protokoll az informatikai infrastruktúrákban, és titkosított kommunikációt tesz lehetővé nem biztonságos hálózatokon a távoli rendszerek kezelése érdekében, így vonzó vektor a támadók számára.

Miután az XorDdos azonosította az érvényes SSH-hitelesítő adatokat, root jogosultságokat használ egy szkript futtatásához, amely letölti és telepíti az XorDdos-t a céleszközre.

Az XorDdos kijátszási és perzisztencia mechanizmusokat használ amelyek működésüket robusztusan és lopakodva tartják. Kijátszási képességei közé tartozik a rosszindulatú programok tevékenységeinek elhomályosítása, a szabályalapú észlelési mechanizmusok kijátszása és a rosszindulatú fájlok hash-alapú keresése, valamint a kriminalisztika elleni technikák használata a folyamatfa-alapú elemzés megszakításához.

A Microsoft azt állítja, hogy a legutóbbi kampányokban ezt tapasztalta Az XorDdos elrejti a rosszindulatú vizsgálati tevékenységeket az érzékeny fájlok null byte-tal történő felülírásával. Számos fennmaradási mechanizmust is tartalmaz a különböző Linux disztribúciók támogatására. Az XorDdos egy másik, különböző platformokon megfigyelt tendenciát mutathat be, ahol a rosszindulatú programokat más veszélyes fenyegetések generálására használják.

A Microsoft is ezt mondja megállapította, hogy az XorDdos-szal fertőzött eszközöket később más rosszindulatú programok is megfertőzték, mint a hátsó ajtó, amelyet az XMRig érmebányász valósít meg.

„Bár nem figyeltük meg, hogy az XorDdos közvetlenül telepített volna és elosztott volna másodlagos hasznos terheléseket, mint például a Tsunami, lehetséges, hogy a trójai vektort használják a tevékenységek nyomon követésére” – mondja a Microsoft.

XorDdos főként nyers SSH-n keresztül terjed. Egy rosszindulatú shell-szkriptet használ, hogy különféle root hitelesítő adatok kombinációit próbálja ki több ezer kiszolgálón, amíg egyezést nem talál egy cél Linux-eszközön. Ennek eredményeként számos sikertelen bejelentkezési kísérlet látható a kártevővel fertőzött eszközökön:

A Microsoft két hozzáférési módot határozott meg XorDdos kezdőbetűje. Az első módszer egy rosszindulatú ELF-fájl átmásolása a /dev/shm ideiglenes fájltárolóba, majd futtatása. A /dev/shm könyvtárba írt fájlok a rendszer újraindításakor törlődnek, lehetővé téve a fertőzés forrásának elrejtését az igazságügyi elemzés során.

A második módszer egy bash szkript futtatása, amely a parancssoron keresztül a következőket hajtja végre, majd a következő mappákon keresztül iterálva kereshet egy írható könyvtárat.

Az XorDdos moduláris jellege sokoldalú trójai programot biztosít a támadóknak, amely képes megfertőzni a Linux rendszerarchitektúrák széles skáláját. SSH brute force támadásaik viszonylag egyszerű, de hatékony technikák számos potenciális célpont gyökér hozzáférésének megszerzésére.

Az érzékeny adatok ellopására, rootkit-eszköz telepítésére, különféle kijátszási és perzisztencia mechanizmusok használatára, valamint DDoS-támadások végrehajtására képes XorDdos lehetővé teszi a hackerek számára, hogy potenciálisan jelentős fennakadásokat okozzanak a célrendszerekben. Ezenkívül az XorDdos felhasználható más veszélyes fenyegetések bevezetésére vagy vektorként a tevékenységek nyomon követésére.

A Microsoft szerint a beépített fenyegetettségi adatokból, köztük a kliens- és felhőheurisztikákból, a gépi tanulási modellekből, a memóriaelemzésből és a viselkedésfigyelésből származó betekintések felhasználásával a Microsoft Defender for Endpoint képes észlelni és orvosolni a XorDdos-t és annak moduláris, többlépcsős támadásait.

Végül, ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket A következő linken.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.