Kilka dni temu Microsoft opublikował wiadomość o złośliwym oprogramowaniu DDoS o nazwie „XorDdos” który jest skierowany do punktów końcowych i serwerów systemu Linux. Microsoft powiedział, że odkrył luki, które pozwalają osobom kontrolującym wiele systemów stacjonarnych Linux na szybkie uzyskanie praw systemowych.
Microsoft zatrudnia jednych z najlepszych badaczy bezpieczeństwa na świecie, regularnie odkrywając i naprawiając ważne luki w zabezpieczeniach, często zanim zostaną one wykorzystane w ekosystemach.
„To, co tak naprawdę dowodzi to odkrycie, jest tym, co wiedział już każdy, kto ma choć odrobinę wskazówki: w Linuksie nie ma nic, co czyniłoby go z natury bardziej niezawodnym niż Windows. XorDdos
„W ciągu ostatnich sześciu miesięcy zaobserwowaliśmy 254% wzrost aktywności trojana dla systemu Linux o nazwie XorDdos” — mówi Microsoft. Kolejna wada, która dowodzi, że nie ma nic w Linuksie, co czyniłoby go z natury bardziej niezawodnym niż Windows?
Same ataki DDoS mogą być bardzo problematyczne z wielu powodów, ale te ataki też mogą służyć jako przykrywka do ukrycia innych złośliwych działań, takie jak wdrażanie złośliwego oprogramowania i infiltracja systemów docelowych. Wykorzystanie botnetu do przeprowadzania ataków DDoS może potencjalnie spowodować znaczące zakłócenia, takie jak atak DDoS 2,4 Tb/s, który Microsoft złagodził w sierpniu 2021 roku.
Botnety mogą być również wykorzystywane do kompromitowania innych urządzeńi wiadomo, że XorDdos korzysta z ataków brute force Secure Shell (SSH), aby zdalnie przejąć kontrolę nad urządzeniami docelowymi. SSH jest jednym z najpopularniejszych protokołów w infrastrukturach IT i umożliwia szyfrowaną komunikację w niezabezpieczonych sieciach w celu zarządzania zdalnymi systemami, co czyni go atrakcyjnym wektorem dla atakujących.
Gdy XorDdos zidentyfikuje prawidłowe poświadczenia SSH, używa uprawnień administratora do uruchomienia skryptu, który pobiera i instaluje XorDdos na urządzeniu docelowym.
XorDdos wykorzystuje mechanizmy unikania i utrwalania które sprawiają, że ich operacje są solidne i dyskretne. Jego możliwości unikania obejmują zaciemnianie działań złośliwego oprogramowania, omijanie mechanizmów wykrywania opartych na regułach i wyszukiwanie złośliwych plików oparte na hashowaniu, a także stosowanie technik antykryminalistycznych do łamania analizy opartej na drzewie procesów.
Microsoft twierdzi, że w ostatnich kampaniach zauważył, że XorDdos ukrywa złośliwą aktywność skanowania, nadpisując wrażliwe pliki pustym bajtem. Zawiera również kilka mechanizmów trwałości do obsługi różnych dystrybucji Linuksa. XorDdos może ilustrować inny trend obserwowany na różnych platformach, gdzie złośliwe oprogramowanie jest wykorzystywane do generowania innych niebezpiecznych zagrożeń.
Microsoft również mówi, że odkryli, że urządzenia zainfekowane XorDdos najpierw zostały zainfekowane innym złośliwym oprogramowaniem, jako backdoor, który jest następnie wdrażany przez miner XMRig.
„Chociaż nie zaobserwowaliśmy, aby XorDdos bezpośrednio instalował i dystrybuował dodatkowe ładunki, takie jak Tsunami, możliwe jest, że trojan jest wykorzystywany jako wektor do śledzenia działań” — mówi Microsoft.
XorDdos rozprzestrzenia się głównie przez SSH brute force. Używa złośliwego skryptu powłoki, aby wypróbować różne kombinacje danych uwierzytelniających administratora na tysiącach serwerów, dopóki nie znajdzie dopasowania na docelowym urządzeniu z systemem Linux. W rezultacie na urządzeniach zainfekowanych złośliwym oprogramowaniem można zaobserwować wiele nieudanych prób logowania:
Microsoft określił dwie metody dostępu inicjał XorDdos. Pierwsza metoda polega na skopiowaniu złośliwego pliku ELF do tymczasowego magazynu plików /dev/shm, a następnie jego uruchomieniu. Pliki zapisane w /dev/shm są usuwane po ponownym uruchomieniu systemu, umożliwiając ukrycie źródła infekcji podczas analizy kryminalistycznej.
Drugą metodą jest uruchomienie skryptu bash, który wykonuje następujące czynności za pomocą wiersza poleceń, przeszukuje następujące foldery, aby znaleźć katalog z możliwością zapisu.
Modułowa natura XorDdos zapewnia atakującym wszechstronnego trojana zdolnego do infekowania różnych architektur systemu Linux. Ich ataki brute force SSH są stosunkowo prostą, ale skuteczną techniką uzyskiwania dostępu do roota dla wielu potencjalnych celów.
XorDdos, zdolny do kradzieży poufnych danych, instalowania urządzenia typu rootkit, wykorzystywania różnych mechanizmów unikania i utrwalania danych oraz przeprowadzania ataków DDoS, umożliwia hakerom tworzenie potencjalnie znaczących zakłóceń w systemach docelowych. Dodatkowo XorDdos może służyć do wprowadzania innych niebezpiecznych zagrożeń lub zapewniać wektor do śledzenia działań.
Według Microsoft, wykorzystując wgląd w wbudowane dane o zagrożeniach, w tym heurystykę klienta i chmury, modele uczenia maszynowego, analizę pamięci i monitorowanie behawioralne, Microsoft Defender for Endpoint może wykrywać i naprawiać XorDdos i jego modułowe, wieloetapowe ataki.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.