마이크로소프트, XorDdos 맬웨어 활동 증가에 대해 경고
마이크로소프트 전문가들은 XorDdos의 활동이, Linux 장치를 해킹하고 DDoS 봇넷을 생성하는 데 사용되는 모듈식 맬웨어, 에 의해 증가했다 254% 지난 6개월 동안.
이 악성코드, 또한 ~으로 알려진 XOR.DDoS 과 XOR 디도스, 이후로 활동 2014 Linux 시스템을 대상으로 함. XOR 기반 암호화를 사용하여 이름을 얻었습니다., 제어 서버와 데이터를 교환할 때 사용, 뿐만 아니라 그의 도움으로 수행되는 DDoS 공격 때문에.
저희도 다음과 같이 보고했음을 알려드립니다. 싸구려의 모습 다크크리스탈 RAT 맬웨어 우려 전문가.
XorDdos 일반적으로 개방형 SSH 및 Telnet 포트를 스캔하고 후속 무차별 대입 공격을 통해 배포됩니다.. 더 많은 기기에 보급하기 위해, 멀웨어는 루트로 로그인을 시도하는 쉘 스크립트를 사용합니다., 인터넷에서 사용할 수 있는 수천 개의 시스템에 대해 다른 암호 시도
XorDdos 공격 방식
전문가들에 따르면, 이 봇넷의 성공은 주로 다양한 회피 전술의 사용과 안정적인 존재를 유지하는 방법으로 설명됩니다., XorDdos가 보이지 않고 제거하기 어려운 상태로 유지되도록 합니다..
기능에는 난독화가 포함됩니다., 규칙 기반 탐지 및 해시 기반 멀웨어 탐지 메커니즘 회피, 다양한 기술을 사용하여 트리 기반 분석 프로세스를 방해합니다.. 최근 캠페인을 공부하면서, XorDdos는 민감한 파일을 null 바이트로 덮어써 분석에서 악의적인 활동을 숨깁니다..마이크로 소프트 365 수비수가 썼다.
보고서는 또한 DDoS 공격을 시작하는 것 외에도, 운영자는 XorDDoS를 사용하여 루트킷을 설치합니다., 해킹된 장치에 대한 액세스 유지, 추가 페이로드를 제공할 가능성.
우리는 원래 XorDdos에 감염된 장치가 나중에 추가 맬웨어에 감염되었음을 발견했습니다., ~와 같은 쓰나미 뒷문, 추가로 배포한 XMRig 갱부. XorDdos가 Tsunami와 같은 2차 페이로드를 직접 설치 및 배포하는 것을 관찰하지는 못했지만, 트로이 목마가 후속 공격의 벡터로 사용될 가능성이 있습니다..연구원은 씁니다.
재미있게, Microsoft 전문가의 결론은 다음과 일치합니다. 보고 크라우드 스트라이크, 특히 XorDDoS 활동과 일반적으로 Linux용 맬웨어의 증가에 주목했습니다.: ~에 2021, 있었다 35% 이러한 악성코드의 증가. 분석가들은 일반적으로 XorDDoS가, 미라이, 과 영화 가장 흔한 악성코드군, 회계 22% Linux 장치에 대한 모든 공격의 2021.