幾天前 微軟發布了有關名為“XorDdos”的 DDoS 惡意軟件的消息 它以 Linux 端點和服務器為目標。 微軟表示,它發現了允許控制許多 Linux 桌面系統的人快速獲得系統權限的漏洞。
Microsoft 聘請了一些世界上最優秀的安全研究人員,定期發現和修復重要漏洞,通常是在它們被用於生態系統之前。
“這一發現實際上證明了任何有半點線索的人都已經知道的事情:Linux 沒有什麼比 Windows 更可靠。 XorDdos
“在過去的六個月裡,我們看到一個名為 XorDdos 的 Linux 木馬的活動增加了 254%,”微軟說。 另一個證明 Linux 中沒有任何東西可以使其本質上比 Windows 更可靠的缺陷?
單獨的 DDoS 攻擊可能會帶來很大的問題 有很多原因,但這些攻擊也 它們可以用作隱藏其他惡意活動的掩護, 例如惡意軟件部署和目標系統的滲透。 使用殭屍網絡進行 DDoS 攻擊可能會造成重大破壞,例如 Microsoft 在 2,4 年 2021 月緩解的 XNUMX Tbps DDoS 攻擊。
殭屍網絡也可用於危害其他設備, 並且已知 XorDdos 使用 Secure Shell 暴力攻擊 (SSH) 遠程控制目標設備。 SSH 是 IT 基礎設施中最常見的協議之一,它允許通過不安全的網絡進行加密通信以管理遠程系統,使其成為攻擊者的一個有吸引力的載體。
在 XorDdos 識別出有效的 SSH 憑據後,它會使用 root 權限運行一個腳本,該腳本會在目標設備上下載並安裝 XorDdos。
XorDdos 使用規避和持久性機制 使他們的行動保持穩健和隱秘。 它的規避能力包括混淆惡意軟件活動、規避基於規則的檢測機制、基於哈希的惡意文件搜索,以及使用反取證技術來破壞基於進程樹的分析。
微軟表示,它在最近的活動中看到 XorDdos 通過用空字節覆蓋敏感文件來隱藏惡意掃描活動。 它還包括幾個持久性機制來支持不同的 Linux 發行版。 XorDdos 可能說明了在各種平台上觀察到的另一種趨勢,其中惡意軟件被用來生成其他危險威脅。
微軟還表示 發現先感染 XorDdos 的設備後來又感染了其他惡意軟件, 作為後門,然後由 XMRig 硬幣礦工實施。
“雖然我們沒有觀察到 XorDdos 直接安裝和分發像海嘯這樣的二級有效載荷,但木馬有可能被用作跟踪活動的載體,”微軟說。
異或Ddos 主要通過 SSH 蠻力傳播. 它使用惡意 shell 腳本在數千台服務器上嘗試各種根憑據組合,直到在目標 Linux 設備上找到匹配項。 結果,在感染了惡意軟件的設備上可以看到許多失敗的登錄嘗試:
微軟已經確定了兩種訪問方式 XorDdos 的首字母。 第一種方法是將惡意ELF文件複製到臨時文件存儲/dev/shm,然後運行。 寫入 /dev/shm 的文件會在系統重新啟動時被刪除,從而在取證分析期間隱藏感染源。
第二種方法是運行 bash 腳本,通過命令行執行以下操作,遍歷以下文件夾以找到可寫目錄。
XorDdos 的模塊化特性為攻擊者提供了一種通用的木馬,能夠感染各種 Linux 系統架構。 他們的 SSH 蠻力攻擊是一種相對簡單但有效的技術,可以在許多潛在目標上獲得 root 訪問權限。
XorDdos 能夠竊取敏感數據、安裝 rootkit 設備、使用各種規避和持久性機制以及執行 DDoS 攻擊,允許黑客對目標系統造成潛在的重大破壞。 此外,XorDdos 可用於引入其他危險威脅或提供跟踪活動的載體。
據微軟稱,通過利用內置威脅數據的洞察力,包括客戶端和雲啟發式、機器學習模型、內存分析和行為監控,Microsoft Defender for Endpoint 可以檢測和修復 XorDdos 及其模塊化多階段攻擊。
最後, 如果您有興趣了解更多信息,您可以查看詳細信息 在下面的鏈接中。