Microsoft varoittaa lisääntyneestä XorDdos-haittaohjelmatoiminnasta

Microsoftin asiantuntijat ovat varoittaneet, että toiminta XorDdos, modulaarinen haittaohjelma, jota käytetään Linux-laitteiden hakkeroimiseen ja DDoS-bottiverkon luomiseen, on lisääntynyt 254% viimeisen kuuden kuukauden aikana.

Tämä haittaohjelma, tunnetaan myös XOR.DDoS ja XOR DDoS, on ollut aktiivinen siitä lähtien 2014 ja kohdistuu Linux-järjestelmiin. Se sai nimensä XOR-pohjaisen salauksen käytöstä, jota käytetään tietojen vaihdossa ohjauspalvelimien kanssa, sekä sen avulla suoritettavien DDoS-hyökkäysten takia.

Muistutan, että olemme myös ilmoittaneet siitä Halvan ulkonäkö DarkCrystal RAT-haittaohjelmista huolestuneet asiantuntijat.

XorDdos jaetaan yleensä skannaamalla avoimia SSH- ja Telnet-portteja ja myöhempiä raakoja hyökkäyksiä. Levittääkseen useammille laitteille, haittaohjelma käyttää shell-skriptiä, joka yrittää kirjautua sisään pääkäyttäjänä, kokeilla erilaisia ​​salasanoja tuhansille Internetistä saataville järjestelmille

XorDdos-haittaohjelmatoiminta
XorDdos-hyökkäyssuunnitelma

Asiantuntijoiden mukaan, Tämän bottiverkon menestys selittyy pääasiassa erilaisten väistötaktiikkojen ja menetelmien käytöllä vakaan läsnäolon ylläpitämiseksi, jonka ansiosta XorDdos pysyy näkymättömänä ja vaikeasti poistettavissa.

Sen ominaisuuksiin kuuluu hämärtäminen, sääntöihin perustuvan havaitsemisen ja hash-pohjaisten haittaohjelmien havaitsemismekanismien kiertäminen, ja erilaisten tekniikoiden käyttö puupohjaisen analyysin prosessin häiritsemiseksi. Tutkiessaan viimeaikaisia ​​kampanjoita, huomasimme, että XorDdos piilottaa haitallisen toiminnan analyysiltä kirjoittamalla arkaluontoiset tiedostot nollatavulla.Microsoft 365 Puolustaja kirjoitti.

Raportissa todetaan myös, että DDoS-hyökkäysten käynnistämisen lisäksi, operaattorit käyttävät XorDDoS:ää rootkit-pakettien asentamiseen, ylläpitää pääsyä hakkeroituihin laitteisiin, ja todennäköisesti toimittaa lisää hyötykuormia.

Huomasimme, että XorDdos-tartunnan saaneet laitteet saivat myöhemmin lisähaittaohjelmia, kuten Tsunami takaovi, joka lisäksi otti käyttöön XMRig kaivosmies. Vaikka emme ole havainneet XorDdosin suoraan asentavan ja jakavan toissijaisia ​​hyötykuormia, kuten Tsunamia, on mahdollista, että troijalaista käytetään vektorina myöhempiä hyökkäyksiä varten.tutkijat kirjoittavat.
Mielenkiintoista, Microsoftin asiantuntijoiden päätelmät ovat yhdenmukaisia raportti CrowdStrike, joka havaitsi myös XorDDoS-toiminnan lisääntymisen erityisesti ja haittaohjelmien lisääntymisen Linuxille yleensä: sisään 2021, siellä oli 35% tällaisten haittaohjelmien lisääntyminen. Analyytikot päättelivät yleisesti, että XorDDoS, Mirai, ja Elokuva ovat yleisimmät haittaohjelmaperheet, kirjanpito 22% kaikista Linux-laitteita vastaan ​​tehdyistä hyökkäyksistä 2021.

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike