MicrosoftがXorDdosマルウェアアクティビティの増加を警告
Microsoftの専門家は、XorDdosの活動について警告しています, LinuxデバイスをハッキングしてDDoSボットネットを作成するために使用されるモジュラーマルウェア, によって増加しました 254% 過去6か月間.
このマルウェア, としても知られている XOR.DDoS そして XOR DDoS, 以来活動しています 2014 Linuxシステムを対象としています. XORベースの暗号化を使用していることからその名前が付けられました, これは、制御サーバーとデータを交換するときに使用されます, また、その助けを借りて実行されるDDoS攻撃のため.
私たちもそれを報告したことを思い出させてください 安いの外観 DarkCrystal RATマルウェア心配の専門家.
XorDdos 通常、開いているSSHポートとTelnetポートをスキャンし、その後ブルートフォース攻撃を行うことで配布されます. より多くのデバイスに広がるために, マルウェアは、rootとしてログインしようとするシェルスクリプトを使用します, インターネット上で利用可能な何千ものシステムに対して異なるパスワードを試す
XorDdos攻撃スキーム
専門家によると, このボットネットの成功は、主にさまざまな回避戦術と安定したプレゼンスを維持する方法の使用によって説明されます, これにより、XorDdosは非表示のままになり、削除が困難になります.
その機能には難読化が含まれます, ルールベースの検出およびハッシュベースのマルウェア検出メカニズムの回避, ツリーベースの分析のプロセスを混乱させるためのさまざまな手法の使用. 最近のキャンペーンを勉強しながら, XorDdosは、機密ファイルをnullバイトで上書きすることにより、悪意のあるアクティビティを分析から隠していることに気づきました。.マイクロソフト 365 ディフェンダーは書いた.
レポートは、DDoS攻撃の開始に加えて, オペレーターはXorDDoSを使用してルートキットをインストールします, ハッキングされたデバイスへのアクセスを維持する, 追加のペイロードを配信する可能性があります.
XorDdosに最初に感染したデバイスは、後で追加のマルウェアに感染したことがわかりました, など 津波 バックドア, 追加で展開しました XMRig 鉱夫. XorDdosがTsunamiなどのセカンダリペイロードを直接インストールして配布することは確認されていませんが, トロイの木馬がその後の攻撃のベクトルとして使用されている可能性があります.研究者は書いています.
興味深いことに, マイクロソフトの専門家の結論は、 のレポート CrowdStrike, また、特にXorDDoSアクティビティの増加、およびLinux全般のマルウェアの増加にも注目しました。: の 2021, ありました 35% そのようなマルウェアの増加. アナリストは一般的にXorDDoS, Mirai, そして シネマ 最も一般的なマルウェアファミリーです, 会計 22% Linuxデバイスに対するすべての攻撃の 2021.
