XorDdos, un malware descubierto por Microsoft y que ataca a Linux

Hace algunos días Microsoft dio a conocer la noticia sobre un malware DDoS llamado «XorDdos» que se dirige a los puntos finales y servidores de Linux. Microsoft dijo que descubrió vulnerabilidades que permiten a las personas que controlan muchos sistemas de escritorio Linux obtener rápidamente derechos de sistema.

Microsoft emplea a algunos de los mejores investigadores de seguridad del mundo, descubre y corrige vulnerabilidades importantes con regularidad, a menudo antes de que se utilicen en los ecosistemas.

“Lo que este descubrimiento demuestra en realidad es lo que cualquiera con media pista ya sabía: no hay nada en Linux que lo haga intrínsecamente más confiable que Windows. XorDdos

“Durante los últimos seis meses, hemos visto un aumento del 254 % en la actividad de un troyano de Linux llamado XorDdos”, dice Microsoft. ¿Otra falla que demuestra que no hay nada en Linux que lo haga intrínsecamente más confiable que Windows?

Los ataques DDoS por sí solos pueden ser muy problemáticos por muchas razones, pero estos ataques también se pueden usar como una tapadera para ocultar otras actividades maliciosas, como el despliegue de malware y la infiltración de sistemas de destino. El uso de una botnet para realizar ataques DDoS puede potencialmente crear una interrupción significativa, como el ataque DDoS de 2,4 Tbps que Microsoft mitigó en agosto de 2021.

Las botnets también se pueden usar para comprometer otros dispositivos, y se sabe que XorDdos usa ataques de fuerza bruta Secure Shell (SSH) para tomar el control de los dispositivos objetivo de forma remota. SSH es uno de los protocolos más comunes en las infraestructuras de TI y permite comunicaciones cifradas a través de redes inseguras con el fin de administrar sistemas remotos, lo que lo convierte en un vector atractivo para los atacantes.

Después de que XorDdos identifica las credenciales de SSH válidas, utiliza los privilegios de raíz para ejecutar un script que descarga e instala XorDdos en el dispositivo de destino.

XorDdos utiliza mecanismos de evasión y persistencia que mantienen sus operaciones robustas y sigilosas. Sus capacidades de evasión incluyen ofuscación de actividades de malware, evasión de mecanismos de detección basados ​​en reglas y búsqueda de archivos maliciosos basada en hash, así como el uso de técnicas anti-forenses para romper el análisis basado en el árbol de procesos.

Microsoft dice que ha observado en campañas recientes que XorDdos oculta la actividad maliciosa del escaneo sobrescribiendo archivos confidenciales con un byte nulo. También incluye varios mecanismos de persistencia para admitir diferentes distribuciones de Linux. XorDdos puede ilustrar otra tendencia observada en varias plataformas, en las que se utiliza malware para generar otras amenazas peligrosas.

Microsoft también dice que descubrió que los dispositivos infectados primero con XorDdos luego se infectaron con otro malware, como la puerta trasera que luego implementa el minero de monedas XMRig.

“Aunque no hemos observado que XorDdos instale y distribuya directamente cargas útiles secundarias como Tsunami, es posible que el troyano se esté utilizando como vector para rastrear actividades”, dice Microsoft.

XorDdos se propaga principalmente a través de la fuerza bruta SSH. Utiliza un script de shell malicioso para probar varias combinaciones de credenciales raíz en miles de servidores hasta que encuentra una coincidencia en un dispositivo Linux de destino. Como resultado, se pueden ver muchos intentos fallidos de inicio de sesión en dispositivos infectados con el malware:

Microsoft ha determinado dos de los métodos de acceso inicial de XorDdos. El primer método es copiar un archivo ELF malicioso en el almacenamiento de archivos temporales /dev/shm y luego ejecutarlo. Los archivos escritos en /dev/shm se eliminan al reiniciar el sistema, lo que permite ocultar la fuente de infección durante el análisis forense.

El segundo método es ejecutar un script bash que realice las siguientes actividades a través de la línea de comando, iterar a través de las siguientes carpetas para encontrar un directorio escribible.

La naturaleza modular de XorDdos brinda a los atacantes un troyano versátil capaz de infectar una variedad de arquitecturas de sistemas Linux. Sus ataques de fuerza bruta SSH son una técnica relativamente simple pero efectiva para obtener acceso de raíz en una serie de objetivos potenciales.

Capaz de robar datos confidenciales, instalar un dispositivo rootkit, usar varios mecanismos de evasión y persistencia y realizar ataques DDoS, XorDdos permite a los hackers crear interrupciones potencialmente significativas en los sistemas de destino. Además, XorDdos se puede utilizar para introducir otras amenazas peligrosas o proporcionar un vector para actividades de seguimiento.

Según Microsoft, al aprovechar la información obtenida de los datos de amenazas integrados, incluidas las heurísticas de clientes y de la nube, los modelos de aprendizaje automático, el análisis de la memoria y la supervisión del comportamiento, Microsoft Defender for Endpoint puede detectar y remediar XorDdos y sus ataques modulares de varias etapas.

Finalmente, si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.