For noen dager siden Microsoft ga ut nyhetene om en DDoS malware kalt "XorDdos" som retter seg mot Linux-endepunkter og servere. Microsoft sa at de oppdaget sårbarheter som lar folk som kontrollerer mange Linux-stasjonære systemer raskt få systemrettigheter.
Microsoft ansetter noen av de beste sikkerhetsforskerne i verden, som regelmessig oppdager og fikser viktige sårbarheter, ofte før de brukes i økosystemer.
"Det denne oppdagelsen faktisk beviser, er det alle med en halv anelse allerede visste: det er ingenting ved Linux som gjør det mer pålitelig enn Windows. XorDdos
"I løpet av de siste seks månedene har vi sett en 254% økning i aktiviteten for en Linux-trojaner kalt XorDdos," sier Microsoft. En annen feil som beviser at det ikke er noe i Linux som gjør det mer pålitelig enn Windows?
DDoS-angrep alene kan være svært problematiske av mange grunner, men disse angrepene også de kan brukes som et dekke for å skjule andre ondsinnede aktiviteter, slik som distribusjon av skadelig programvare og infiltrasjon av målsystemer. Å bruke et botnett til å utføre DDoS-angrep kan potensielt skape betydelige forstyrrelser, for eksempel 2,4 Tbps DDoS-angrepet som Microsoft dempet i august 2021.
Botnett kan også brukes til å kompromittere andre enheter, og det er kjent XorDdos bruker brute force Secure Shell-angrep (SSH) for å ta kontroll over målenheter eksternt. SSH er en av de vanligste protokollene i IT-infrastrukturer og tillater kryptert kommunikasjon over usikre nettverk for å administrere eksterne systemer, noe som gjør den til en attraktiv vektor for angripere.
Etter at XorDdos identifiserer gyldig SSH-legitimasjon, bruker den root-privilegier til å kjøre et skript som laster ned og installerer XorDdos på målenheten.
XorDdos bruker unnvikelses- og utholdenhetsmekanismer som holder driften robust og snikende. Dens unnvikelsesevner inkluderer tilsløring av skadevareaktiviteter, unndragelse av regelbaserte deteksjonsmekanismer og hasj-basert søk etter ondsinnede filer, samt bruk av anti-kriminaltekniske teknikker for å bryte prosesstrebasert analyse.
Microsoft sier de har sett det i de siste kampanjene XorDdos skjuler ondsinnet skanneaktivitet ved å overskrive sensitive filer med en nullbyte. Den inkluderer også flere utholdenhetsmekanismer for å støtte forskjellige Linux-distribusjoner. XorDdos kan illustrere en annen trend observert på tvers av ulike plattformer, der skadevare brukes til å generere andre farlige trusler.
Microsoft sier det også fant ut at enheter infisert med XorDdos først ble infisert med annen skadelig programvare, som bakdøren som deretter implementeres av XMRig-myntgruvearbeideren.
"Selv om vi ikke har observert XorDdos direkte installere og distribuere sekundære nyttelaster som Tsunami, er det mulig at trojaneren blir brukt som en vektor for å spore aktiviteter," sier Microsoft.
XorDdos spres hovedsakelig via SSH brute force. Den bruker et ondsinnet skallskript for å prøve ulike kombinasjoner av root-legitimasjon på tusenvis av servere til det finner en match på en Linux-målenhet. Som et resultat kan mange mislykkede påloggingsforsøk sees på enheter infisert med skadelig programvare:
Microsoft har bestemt to av tilgangsmetodene initialen til XorDdos. Den første metoden er å kopiere en ondsinnet ELF-fil til den midlertidige fillagringen /dev/shm og deretter kjøre den. Filer skrevet til /dev/shm slettes ved omstart av systemet, slik at infeksjonskilden kan skjules under rettsmedisinsk analyse.
Den andre metoden er å kjøre et bash-skript som gjør følgende via kommandolinjen, iterere gjennom følgende mapper for å finne en skrivbar katalog.
Den modulære naturen til XorDdos gir angripere en allsidig trojaner som er i stand til å infisere en rekke Linux-systemarkitekturer. Deres SSH brute force-angrep er en relativt enkel, men effektiv teknikk for å få root-tilgang på en rekke potensielle mål.
XorDdos er i stand til å stjele sensitive data, installere en rootkit-enhet, bruke ulike unnvikelses- og utholdenhetsmekanismer og utføre DDoS-angrep, og lar hackere skape potensielt betydelige forstyrrelser i målsystemer. I tillegg kan XorDdos brukes til å introdusere andre farlige trusler eller gi en vektor for sporing av aktiviteter.
Ifølge Microsoft, ved å utnytte innsikt fra innebygde trusseldata, inkludert klient- og skyheuristikk, maskinlæringsmodeller, minneanalyse og atferdsovervåking, kan Microsoft Defender for Endpoint oppdage og utbedre XorDdos og dets modulære flertrinnsangrep.
Endelig, hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.