לפני כמה ימים מיקרוסופט פרסמה את החדשות על תוכנת זדונית DDoS בשם "XorDdos" המכוון לנקודות קצה ושרתים של לינוקס. מיקרוסופט אמרה שהיא גילתה נקודות תורפה שמאפשרות לאנשים השולטים במערכות שולחניות רבות של לינוקס לקבל במהירות זכויות מערכת.
מיקרוסופט מעסיקה כמה מחוקרי האבטחה הטובים בעולם, ומגלות ומתקנות באופן קבוע פגיעויות חשובות, לעתים קרובות לפני השימוש בהן במערכות אקולוגיות.
"מה שהתגלית הזו למעשה מוכיחה זה מה שכל אחד עם חצי רמז כבר ידע: אין שום דבר בלינוקס שהופך אותה מטבעה ליותר אמינה מווינדוס. XorDdos
"במהלך ששת החודשים האחרונים, ראינו עלייה של 254% בפעילות עבור טרויאני לינוקס בשם XorDdos", אומרת מיקרוסופט. פגם נוסף שמוכיח שאין שום דבר בלינוקס שהופך אותו מטבעו לאמין יותר מווינדוס?
התקפות DDoS לבדן יכולות להיות מאוד בעייתיות מסיבות רבות, אבל גם התקפות אלו הם יכולים לשמש ככיסוי להסתרת פעילויות זדוניות אחרות, כגון פריסת תוכנות זדוניות וחדירה למערכות יעד. שימוש ברשת בוט לביצוע התקפות DDoS עלול ליצור הפרעות משמעותיות, כגון מתקפת DDoS של 2,4 Tbps שמיקרוסופט הפחיתה באוגוסט 2021.
ניתן להשתמש ב-botnets גם כדי לסכן מכשירים אחרים, וידוע ש XorDdos משתמש בהתקפות של Secure Shell (SSH) להשתלט על מכשירי היעד מרחוק. SSH הוא אחד הפרוטוקולים הנפוצים ביותר בתשתיות IT ומאפשר תקשורת מוצפנת על גבי רשתות לא מאובטחות על מנת לנהל מערכות מרוחקות, מה שהופך אותו לוקטור אטרקטיבי עבור תוקפים.
לאחר ש-XorDdos מזהה אישורי SSH חוקיים, הוא משתמש בהרשאות שורש כדי להפעיל סקריפט שמוריד ומתקין את XorDdos במכשיר היעד.
XorDdos משתמש במנגנוני התחמקות והתמדה ששומרים על הפעילות שלהם איתנה וחמקנית. יכולות ההתחמקות שלה כוללות ערפול של פעילויות תוכנות זדוניות, התחמקות ממנגנוני זיהוי מבוססי כללים וחיפוש מבוסס-hash של קבצים זדוניים, כמו גם שימוש בטכניקות אנטי-פורנזיות לשבירת ניתוח מבוסס עצים בתהליך.
מיקרוסופט אומרת שהיא ראתה את זה בקמפיינים האחרונים XorDdos מסתיר פעילות סריקה זדונית על ידי החלפת קבצים רגישים עם בתים null. הוא כולל גם מספר מנגנוני התמדה לתמיכה בהפצות לינוקס שונות. XorDdos עשוי להמחיש מגמה נוספת שנצפתה בפלטפורמות שונות, שבהן נעשה שימוש בתוכנה זדונית כדי ליצור איומים מסוכנים אחרים.
גם מיקרוסופט אומרת את זה גילה שמכשירים שנדבקו ב-XorDdos תחילה הודבקו מאוחר יותר בתוכנות זדוניות אחרות, כדלת האחורית אשר מיושמת לאחר מכן על ידי כורה המטבעות XMRig.
"למרות שלא צפינו ב-XorDdos מתקין ומפיץ ישירות מטענים משניים כמו צונאמי, ייתכן שהטרויאני משמש כווקטור למעקב אחר פעילויות", אומרת מיקרוסופט.
XorDdos מתפשט בעיקר באמצעות כוח גס SSH. הוא משתמש בסקריפט מעטפת זדוני כדי לנסות שילובים שונים של אישורי בסיס באלפי שרתים עד שהוא מוצא התאמה במכשיר לינוקס היעד. כתוצאה מכך, ניתן לראות ניסיונות התחברות כושלים רבים במכשירים הנגועים בתוכנה הזדונית:
מיקרוסופט קבעה שתיים משיטות הגישה ראשי תיבות של XorDdos. השיטה הראשונה היא להעתיק קובץ ELF זדוני לאחסון הקבצים הזמני /dev/shm ולאחר מכן להפעיל אותו. קבצים שנכתבו ל-/dev/shm נמחקים באתחול מחדש של המערכת, מה שמאפשר להסתיר את מקור ההדבקה במהלך ניתוח משפטי.
השיטה השנייה היא להריץ סקריפט bash שעושה את הפעולות הבאות דרך שורת הפקודה, לעבור דרך התיקיות הבאות כדי למצוא ספרייה ניתנת לכתיבה.
האופי המודולרי של XorDdos מספק לתוקפים טרויאני רב תכליתי המסוגל להדביק מגוון ארכיטקטורות מערכת לינוקס. התקפות SSH brute force שלהם הן טכניקה פשוטה יחסית אך יעילה להשגת גישת שורש על מספר מטרות פוטנציאליות.
XorDdos, המסוגל לגנוב נתונים רגישים, להתקין מכשיר rootkit, להשתמש במנגנוני התחמקות והתמדה שונים ולבצע התקפות DDoS, מאפשרת להאקרים ליצור שיבושים משמעותיים למערכות היעד. בנוסף, XorDdos יכול לשמש כדי להציג איומים מסוכנים אחרים או לספק וקטור למעקב אחר פעילויות.
לפי מיקרוסופט, על ידי מינוף תובנות מנתוני איומים מובנים, כולל היוריסטיקה של לקוח וענן, מודלים של למידת מכונה, ניתוח זיכרון וניטור התנהגותי, Microsoft Defender for Endpoint יכולה לזהות ולתקן את XorDdos ואת ההתקפות הרב-שלביות המודולריות שלה.
לבסוף, אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בקישור הבא.