Microsoft varuje před zvýšenou aktivitou malwaru XorDdos

Helga SmithSmět 24, 2022Naposledy aktualizováno: Smět 24, 2022
60 1 minutové čtení

Odborníci Microsoftu varovali, že činnost XorDdos, modulární malware používaný k hacknutí linuxových zařízení a vytvoření DDoS botnetu, se zvýšil o 254% za posledních šest měsíců.

Tento malware, také známý jako XOR.DDoS a XOR DDoS, je od té doby aktivní 2014 a zaměřuje se na systémy Linux. Své jméno získal díky použití šifrování založeného na XOR, který se používá při výměně dat s řídicími servery, stejně jako kvůli DDoS útokům, které jsou prováděny s jeho pomocí.

Připomínám, že jsme o tom také informovali Vzhled levné DarkCrystal Experti na malware v obavách RAT.

XorDdos je obvykle distribuován skenováním otevřených portů SSH a Telnet a následnými útoky hrubou silou. Aby se rozšířil do více zařízení, malware používá skript shellu, který se pokouší přihlásit jako root, vyzkoušet různá hesla pro tisíce systémů dostupných na internetu

Malware aktivita XorDdos
Schéma útoku XorDdos

Podle odborníků, úspěch tohoto botnetu je vysvětlován především používáním různých únikových taktik a metod udržení stabilní přítomnosti, což umožňuje XorDdos zůstat neviditelný a obtížně odstranitelný.

Mezi jeho schopnosti patří mlžení, obcházení detekce založené na pravidlech a mechanismů detekce malwaru na bázi hash, a použití různých technik k narušení procesu stromové analýzy. Při studiu nedávných kampaní, všimli jsme si, že XorDdos skrývá škodlivou aktivitu před analýzou přepsáním citlivých souborů prázdným bajtem.Microsoft 365 Obránce napsal.

Zpráva také uvádí, že kromě spouštění DDoS útoků, Operátoři používají XorDDoS k instalaci rootkitů, udržovat přístup k hacknutým zařízením, a pravděpodobně dodá další užitečné zatížení.

Zjistili jsme, že zařízení původně infikovaná XorDdos byla později infikována dalším malwarem, Jako Tsunami zadní dveře, která dodatečně nasadila XMRig horník. Ačkoli jsme nepozorovali, že by XorDdos přímo instaloval a distribuoval sekundární užitečné zatížení, jako je Tsunami, je možné, že trojský kůň je používán jako vektor pro následné útoky.píší vědci.
Zajímavě, závěry odborníků společnosti Microsoft jsou v souladu s zpráva o Crowd Strike, což také zaznamenalo nárůst zejména aktivity XorDDoS a malwaru pro Linux obecně: v 2021, byl tam 35% nárůstu takového malwaru. Analytici obecně dospěli k závěru, že XorDDoS, Mirai, a Kino jsou nejběžnější rodiny malwaru, zaúčtování 22% všech útoků na zařízení se systémem Linux 2021.
Značky
Helga SmithSmět 24, 2022Naposledy aktualizováno: Smět 24, 2022
60 1 minutové čtení

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru