Προστατέψτε τους Linux servers σας από το XorDdos, ένα botnet που σαρώνει το Διαδίκτυο για SSH servers με αδύναμους κωδικούς πρόσβασης, προειδοποιεί η Microsoft.
Δείτε επίσης: BPFdoor: Το Linux malware παρακάμπτει firewalls για απομακρυσμένη πρόσβαση
Η Microsoft έχει δει μια αύξηση 254% στη δραστηριότητα τους τελευταίους μήνες από το XorDDoS, ένα δίκτυο μολυσμένων μηχανών Linux ηλικίας περίπου οκτώ ετών που χρησιμοποιείται για επιθέσεις denial of service (DDoS).
Το XorDdos πραγματοποιεί αυτοματοποιημένες επιθέσεις εικασίας κωδικών πρόσβασης σε χιλιάδες Linux servers για να βρει τα αντίστοιχα admin credentials που χρησιμοποιούνται σε Secure Shell (SSH) servers. Το SSH είναι ένα ασφαλές πρωτόκολλο επικοινωνιών δικτύου που χρησιμοποιείται συνήθως για απομακρυσμένη διαχείριση συστήματος.
Μόλις αποκτηθούν τα credentials, το botnet χρησιμοποιεί root privileges για να εγκατασταθεί σε μια συσκευή Linux και χρησιμοποιεί encryption που βασίζεται σε XOR για να επικοινωνήσει με την υποδομή command and control του εισβολέα.
Ενώ οι επιθέσεις DDoS αποτελούν σοβαρή απειλή για τη διαθεσιμότητα του συστήματος και μεγαλώνουν σε μέγεθος κάθε χρόνο, η Microsoft ανησυχεί για άλλες δυνατότητες αυτών των botnet.
«Διαπιστώσαμε ότι οι συσκευές που μολύνθηκαν αρχικά με το XorDdos μολύνθηκαν αργότερα με πρόσθετο malware, όπως το Tsunami backdoor, το οποίο αναπτύσσει περαιτέρω το XMRig coin miner», σημειώνει η Microsoft.
Το XorDDoS ήταν μια από τις πιο ενεργές οικογένειες malware που βασίζονται σε Linux για το 2021, σύμφωνα με το Crowdstrike. Το malware έχει ευδοκιμήσει από την ανάπτυξη συσκευών Internet of Things (IoT), οι οποίες λειτουργούν ως επί το πλείστον σε παραλλαγές του Linux, αλλά έχει στοχεύσει εσφαλμένα διαμορφωμένα Docker clusters στο cloud. Άλλες κορυφαίες οικογένειες malware που στοχεύουν συσκευές IoT περιλαμβάνουν το Mirai και το Mozi.
Δείτε επίσης: Nimbuspwn Linux ευπάθεια δίνει στους χάκερ δικαιώματα root
Η Microsoft δεν είδε το XorDdos να εγκαθιστά και να διανέμει απευθείας το Tsunami backdoor, αλλά οι ερευνητές της πιστεύουν ότι το XorDdos χρησιμοποιείται ως φορέας για επακόλουθες κακόβουλες δραστηριότητες.
Το XorDdos μπορεί να κρύψει τις δραστηριότητές του από κοινές τεχνικές ανίχνευσης. Σε μια πρόσφατη καμπάνια, η Microsoft το είδε να αντικαθιστά ευαίσθητα αρχεία με ένα null byte.
Το payload XorDdos που ανέλυσε η Microsoft είναι ένα αρχείο 32-bit Linux format ELF με ένα modular binary γραμμένο σε C/C++. Η Microsoft σημειώνει ότι το XorDdos χρησιμοποιεί μια διαδικασία που εκτελείται στο παρασκήνιο, εκτός του ελέγχου των χρηστών και τερματίζεται όταν το σύστημα τερματίζεται.
Ωστόσο, το malware μπορεί να επανεκκινηθεί αυτόματα κατά την επανεκκίνηση ενός συστήματος, χάρη σε πολλά scripts και εντολές που το κάνουν να εκτελείται αυτόματα κατά την εκκίνηση του συστήματος.
Το XorDdoS μπορεί να εκτελέσει πολλές τεχνικές επιθέσεων DDoS, συμπεριλαμβανομένων επιθέσεων SYN flood, επιθέσεων DNS και επιθέσεων ACK flood.
Δείτε επίσης: Βρέθηκε σοβαρή ευπάθεια στο IPsec του Linux – και διορθώθηκε
Συλλέγει χαρακτηριστικά σχετικά με μια μολυσμένη συσκευή, όπως το magic string, την έκδοση του λειτουργικού συστήματος, την έκδοση κακόβουλου λογισμικού, το presence του rootkit, τα στατιστικά της μνήμης, τις πληροφορίες της CPU και την ταχύτητα LAN, τα οποία κρυπτογραφούνται και στη συνέχεια αποστέλλονται στον server C2.
Η τεράστια ώθηση στη δραστηριότητα XorDDoS που εντόπισε η Microsoft από τον Δεκέμβριο συνάδει με μια έκθεση της εταιρείας κυβερνοασφάλειας CrowdStrike, η οποία ανέφερε ότι το κακόβουλο λογισμικό Linux είχε σημειώσει αύξηση 35% το 2021 σε σύγκριση με το προηγούμενο έτος.
Πηγή πληροφοριών: zdnet.com
