Prieš kelias dienas „Microsoft“ paskelbė naujieną apie DDoS kenkėjišką programą „XorDdos“ kuri skirta Linux galutiniams taškams ir serveriams. „Microsoft“ teigė atradusi pažeidžiamumą, leidžiantį žmonėms, kurie valdo daugelį „Linux“ stalinių kompiuterių sistemų, greitai įgyti sistemos teises.
„Microsoft“ samdo vienus geriausių pasaulyje saugumo tyrinėtojų, kurie reguliariai atranda ir ištaiso svarbias spragas, dažnai prieš jas panaudojant ekosistemose.
„Šis atradimas iš tikrųjų įrodo tai, ką jau žinojo kiekvienas, turintis pusę supratimo: „Linux“ nėra nieko, dėl ko ji būtų patikimesnė už „Windows“. XorDdos
„Per pastaruosius šešis mėnesius pastebėjome, kad Linux Trojos arklys, pavadintas XorDdos, išaugo 254 proc.“, – sako „Microsoft“. Kitas trūkumas, įrodantis, kad „Linux“ nėra nieko, dėl ko ji būtų patikimesnė už „Windows“?
Vien DDoS atakos gali būti labai problemiškos dėl daugelio priežasčių, bet ir dėl šių išpuolių jie gali būti naudojami kaip priedanga, norint paslėpti kitą kenkėjišką veiklą, pvz., kenkėjiškų programų diegimas ir įsiskverbimas į tikslines sistemas. Botneto naudojimas DDoS atakoms vykdyti gali sukelti didelių trikdžių, pvz., 2,4 Tbps DDoS ataką, kurią „Microsoft“ sumažino 2021 m. rugpjūčio mėn.
Botnetai taip pat gali būti naudojami siekiant pažeisti kitus įrenginius, ir tai yra žinoma „XorDdos“ naudoja „Secure Shell“ brutalios jėgos atakas (SSH), kad nuotoliniu būdu perimtų tikslinių įrenginių valdymą. SSH yra vienas iš labiausiai paplitusių IT infrastruktūros protokolų ir leidžia užšifruoti ryšį per nesaugius tinklus, kad būtų galima valdyti nuotolines sistemas, todėl jis yra patrauklus užpuolikams.
Kai XorDdos nustato galiojančius SSH kredencialus, jis naudoja root teises, kad paleistų scenarijų, kuris atsisiunčia ir įdiegia XorDdos tiksliniame įrenginyje.
XorDdos naudoja vengimo ir atkaklumo mechanizmus kad jų veikla būtų tvirta ir slapta. Jos vengimo galimybės apima kenkėjiškų programų veiklos užmaskavimą, taisyklėmis pagrįstų aptikimo mechanizmų vengimą ir kenkėjiškų failų paiešką maišos pagrindu, taip pat antikriminalistinių metodų naudojimą, kad būtų nutraukta proceso medžiu pagrįsta analizė.
„Microsoft“ teigia, kad pastarųjų kampanijų metu tai pastebėjo XorDdos slepia kenkėjišką nuskaitymo veiklą, perrašydamas jautrius failus nuliniu baitu. Jame taip pat yra keletas patvarumo mechanizmų, skirtų įvairiems Linux platinimams palaikyti. XorDdos gali iliustruoti kitą tendenciją, pastebėtą įvairiose platformose, kai kenkėjiškos programos naudojamos kitoms pavojingoms grėsmėms generuoti.
Microsoft taip pat sako nustatė, kad įrenginiai, užkrėsti XorDdos, vėliau buvo užkrėsti kitomis kenkėjiškomis programomis, kaip užpakalinės durys, kurias vėliau įdiegia XMRig monetų kasėjas.
„Nors mes nepastebėjome, kad XorDdos tiesiogiai įdiegtų ir paskirstytų antrinius naudingus krovinius, tokius kaip cunamis, gali būti, kad Trojos arklys naudojamas kaip vektorius veiklai sekti“, – sako „Microsoft“.
XorDdos plinta daugiausia per SSH brutalią jėgą. Jis naudoja kenkėjišką apvalkalo scenarijų, kad išbandytų įvairius šakninių kredencialų derinius tūkstančiuose serverių, kol randa atitiktį tiksliniame „Linux“ įrenginyje. Dėl to įrenginiuose, užkrėstuose kenkėjiška programa, galima pastebėti daug nesėkmingų bandymų prisijungti:
„Microsoft“ nustatė du prieigos būdus XorDdos inicialai. Pirmasis būdas yra nukopijuoti kenkėjišką ELF failą į laikinąją failų saugyklą /dev/shm ir paleisti. Failai, įrašyti į /dev/shm, ištrinami perkraunant sistemą, todėl infekcijos šaltinis gali būti paslėptas atliekant teismo ekspertizę.
Antrasis būdas yra paleisti bash scenarijų, kuris komandinėje eilutėje atlieka šiuos veiksmus, kartokite šiuos aplankus, kad surastumėte įrašomąjį katalogą.
Modulinis XorDdos pobūdis suteikia užpuolikams universalų Trojos arklys, galintis užkrėsti įvairias Linux sistemos architektūras. Jų SSH brutalios jėgos atakos yra gana paprastas, bet veiksmingas būdas gauti pagrindinę prieigą prie daugelio galimų taikinių.
XorDdos, galintis pavogti neskelbtinus duomenis, įdiegti rootkit įrenginį, naudoti įvairius vengimo ir atkaklumo mechanizmus bei vykdyti DDoS atakas, leidžia įsilaužėliams sukurti potencialiai reikšmingų tikslinių sistemų trikdžių. Be to, XorDdos gali būti naudojamas kitų pavojingų grėsmių įvedimui arba veiklos stebėjimo vektoriui.
„Microsoft“ teigimu, pasinaudodama įžvalgomis iš integruotų grėsmių duomenų, įskaitant klientų ir debesų euristiką, mašininio mokymosi modelius, atminties analizę ir elgesio stebėjimą, „Microsoft Defender for Endpoint“ gali aptikti ir ištaisyti XorDdos ir jos modulines kelių pakopų atakas.
Galiausiai, jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.