Microsoft предупреждава за повишена активност на злонамерен софтуер XorDdos

Хелга СмитМоже 24, 2022Последна актуализация: Може 24, 2022
1 Минута четене

Експертите на Microsoft предупредиха, че активността на XorDdos, модулен зловреден софтуер, използван за хакване на Linux устройства и създаване на DDoS ботнет, се е увеличил с 254% през последните шест месеца.

Този зловреден софтуер, известен също като XOR.DDoS и XOR DDoS, е активен оттогава 2014 и е насочен към Linux системи. Той получи името си поради използването на XOR-базирано криптиране, който се използва при обмен на данни с управляващи сървъри, както и поради DDoS атаките, които се извършват с негова помощ.

Напомням, че и ние съобщихме за това Външният вид на Евтини DarkCrystal RAT Malware Притеснени експерти.

XorDdos обикновено се разпространява чрез сканиране на отворени SSH и Telnet портове и последващи груби атаки. За да се разпространи на повече устройства, зловреден софтуер използва shell скрипт, който се опитва да влезе като root, изпробване на различни пароли за хиляди системи, налични в интернет

Активност на злонамерен софтуер на XorDdos
Схема за атака на XorDdos

Според специалисти, успехът на този ботнет се обяснява главно с използването на различни тактики за избягване и методи за поддържане на стабилно присъствие, което позволява на XorDdos да остане невидим и труден за премахване.

Неговите възможности включват обфускация, избягване на базирано на правила откриване и механизми за откриване на злонамерен софтуер, базирани на хеш, и използването на различни техники за прекъсване на процеса на дървовидния анализ. Докато изучавате последните кампании, забелязахме, че XorDdos скрива злонамерена дейност от анализа, като презаписва чувствителни файлове с нулев байт.Microsoft 365 Defender написа.

Докладът също така отбелязва, че в допълнение към стартирането на DDoS атаки, операторите използват XorDDoS за инсталиране на руткитове, поддържане на достъп до хакнати устройства, и е вероятно да достави допълнителен полезен товар.

Установихме, че устройствата, първоначално заразени с XorDdos, по-късно са били заразени с допълнителен зловреден софтуер, като например цунами задната врата, които допълнително разгърнаха XMRig миньор. Въпреки че не сме наблюдавали XorDdos директно да инсталира и разпространява вторични полезни товари като Tsunami, възможно е троянският кон да се използва като вектор за последващи атаки.пишат изследователите.
Интересно, заключенията на експертите на Microsoft са в съответствие с доклад на CrowdStrike, което също отбеляза увеличение на активността на XorDDoS по-специално и злонамерения софтуер за Linux като цяло: в 2021, имаше а 35% увеличаване на този зловреден софтуер. Анализаторите като цяло заключиха, че XorDDoS, Мирай, и Кино са най-често срещаните семейства зловреден софтуер, счетоводство за 22% от всички атаки срещу Linux устройства в 2021.
Етикети
Хелга СмитМоже 24, 2022Последна актуализация: Може 24, 2022
1 Минута четене

Хелга Смит

Винаги съм се интересувал от компютърни науки, особено сигурността на данните и темата, което се нарича в наши дни "наука за данни", от ранните ми тийнейджърски години. Преди да дойде в екипа за премахване на вируси като главен редактор, Работил съм като експерт по киберсигурност в няколко компании, including one of Amazon's contractors. Друг опит: Преподавам в университетите Арден и Рединг.

Оставете коментар

Your email address will not be published. Required fields are marked *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват вашите коментарни данни.

Бутон за връщане в началото