Microsoft waarschuwt voor verhoogde XorDdos-malwareactiviteit

Helga Smithmei 24, 2022Laatst bijgewerkt: mei 24, 2022
60 1 minuut lezen

Microsoft-experts hebben gewaarschuwd dat de activiteit van XorDdos, een modulaire malware die wordt gebruikt om Linux-apparaten te hacken en een DDoS-botnet te maken, is toegenomen met 254% in de afgelopen zes maanden.

Deze malware, ook gekend als XOR.DDoS en XOR DDoS, is actief sinds 2014 en richt zich op Linux-systemen. Het kreeg zijn naam vanwege het gebruik van op XOR gebaseerde codering, die wordt gebruikt bij het uitwisselen van gegevens met controleservers, en ook omdat DDoS-aanvallen die met zijn hulp worden uitgevoerd.

Laat me je eraan herinneren dat we dat ook hebben gemeld Het uiterlijk van goedkoop DarkCrystal RAT Malware bezorgde experts.

XorDdos wordt meestal gedistribueerd door het scannen van open SSH- en Telnet-poorten en daaropvolgende brute force-aanvallen. Om zich naar meer apparaten te verspreiden, de malware gebruikt een shellscript dat probeert in te loggen als root, verschillende wachtwoorden uitproberen voor duizenden systemen die op internet beschikbaar zijn

XorDdos Malware-activiteit
XorDdos aanvalsschema

Volgens experts, het succes van dit botnet wordt voornamelijk verklaard door het gebruik van verschillende ontwijkingstactieken en methoden om een ​​stabiele aanwezigheid te behouden, waardoor XorDdos onzichtbaar en moeilijk te verwijderen blijft.

De mogelijkheden omvatten verduistering, ontduiking van op regels gebaseerde detectie en op hash gebaseerde malwaredetectiemechanismen, en het gebruik van verschillende technieken om het proces van de op bomen gebaseerde analyse te verstoren. Tijdens het bestuderen van recente campagnes, we hebben gemerkt dat XorDdos kwaadaardige activiteiten verbergt voor analyse door gevoelige bestanden te overschrijven met een null-byte.Microsoft 365 verdediger schreef:.

Het rapport merkt ook op dat naast het lanceren van DDoS-aanvallen, operators gebruiken XorDDoS om rootkits te installeren, toegang houden tot gehackte apparaten, en waarschijnlijk extra ladingen opleveren.

We ontdekten dat apparaten die oorspronkelijk waren geïnfecteerd met XorDdos, later werden geïnfecteerd met aanvullende malware, zoals de Tsunami achterdeur, die bovendien de XMRig mijnwerker. Hoewel we niet hebben gezien dat XorDdos secundaire payloads zoals Tsunami . direct installeert en distribueert, het is mogelijk dat de trojan wordt gebruikt als vector voor volgende aanvallen.de onderzoekers schrijven.
interessant genoeg, de conclusies van Microsoft-experts komen overeen met de verslag van CrowdStrike, die ook een toename opmerkte in XorDDoS-activiteit in het bijzonder en malware voor Linux in het algemeen: in 2021, er was een 35% toename van dergelijke malware. Analisten concludeerden over het algemeen dat XorDDoS, Mirai, en Bioscoop zijn de meest voorkomende malwarefamilies, rekening houden met 22% van alle aanvallen op Linux-apparaten in 2021.
Tags
Helga Smithmei 24, 2022Laatst bijgewerkt: mei 24, 2022
60 1 minuut lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop