Microsoft ostrzega przed zwiększoną aktywnością złośliwego oprogramowania XorDdos

Helga Smithmaj 24, 2022Ostatnio zaktualizowany: maj 24, 2022
61 1 minuta przeczytania

Eksperci Microsoft ostrzegają, że działalność XorDdos, modułowe złośliwe oprogramowanie wykorzystywane do hakowania urządzeń z systemem Linux i tworzenia botnetu DDoS, wzrosła o 254% w ciągu ostatnich sześciu miesięcy.

To złośliwe oprogramowanie, znany również jako XOR.DDoS i XOR DDoS, działa od 2014 i jest przeznaczony dla systemów Linux. Swoją nazwę zawdzięcza zastosowaniu szyfrowania opartego na XOR, który jest używany podczas wymiany danych z serwerami kontrolnymi, a także dlatego, że przy jego pomocy przeprowadzane są ataki DDoS.

Przypomnę, że również to zgłosiliśmy Wygląd taniego DarkCrystal Eksperci zaniepokojeni złośliwym oprogramowaniem RAT.

XorDdos jest zwykle dystrybuowany poprzez skanowanie otwartych portów SSH i Telnet, a następnie ataki typu brute force. Aby rozprzestrzenić się na więcej urządzeń, złośliwe oprogramowanie używa skryptu powłoki, który próbuje zalogować się jako root, wypróbowywanie różnych haseł do tysięcy systemów dostępnych w Internecie

Aktywność złośliwego oprogramowania XorDdos
Schemat ataku XorDdos

Według ekspertów, sukces tego botnetu tłumaczy się głównie stosowaniem różnych taktyk uników i metod utrzymywania stabilnej obecności, co pozwala XorDdos pozostać niewidocznym i trudnym do usunięcia.

Jego możliwości obejmują zaciemnianie, omijanie mechanizmów wykrywania opartych na regułach i wykrywania złośliwego oprogramowania opartego na hashach, oraz wykorzystanie różnych technik do zakłócania procesu analizy opartej na drzewie. Podczas studiowania ostatnich kampanii, zauważyliśmy, że XorDdos ukrywa złośliwą aktywność przed analizą, nadpisując wrażliwe pliki pustym bajtem.Microsoft 365 Obrońca napisał.

W raporcie zauważono również, że oprócz przeprowadzania ataków DDoS, operatorzy używają XorDDoS do instalowania rootkitów, zachować dostęp do zhakowanych urządzeń, i prawdopodobnie dostarczy dodatkowe ładunki.

Odkryliśmy, że urządzenia pierwotnie zainfekowane XorDdos zostały później zainfekowane dodatkowym złośliwym oprogramowaniem, tak jak Tsunami tylne drzwi, który dodatkowo wdrożył XMRig górnik. Chociaż nie zaobserwowaliśmy, aby XorDdos bezpośrednio instalował i dystrybuował dodatkowe ładunki, takie jak Tsunami, możliwe, że trojan jest wykorzystywany jako wektor do kolejnych ataków.naukowcy piszą.
co ciekawe, wnioski ekspertów Microsoft są zgodne z raport z CrowdStrike, który również odnotował wzrost aktywności XorDDoS w szczególności i ogólnie złośliwego oprogramowania dla Linuksa: w 2021, to było 35% wzrost takiego złośliwego oprogramowania. Analitycy ogólnie doszli do wniosku, że XorDDoS, Mirai, i Kino są najpopularniejsze rodziny złośliwego oprogramowania, rozliczanie 22% wszystkich ataków na urządzenia z systemem Linux w 2021.
Tagi
Helga Smithmaj 24, 2022Ostatnio zaktualizowany: maj 24, 2022
61 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry