Несколько дней тому назад Microsoft выпустила новость о DDoS-вредоносном ПО под названием «XorDdos». который нацелен на конечные точки и серверы Linux. Microsoft заявила, что обнаружила уязвимости, которые позволяют людям, владеющим многими настольными системами Linux, быстро получить системные права.

В Microsoft работают одни из лучших исследователей безопасности в мире, которые регулярно обнаруживают и устраняют важные уязвимости, часто до того, как они будут использованы в экосистемах.

«Это открытие на самом деле доказывает то, что уже известно любому, кто хоть немного разбирается в этом: в Linux нет ничего, что делало бы его изначально более надежным, чем Windows. XorDdos

«За последние шесть месяцев мы наблюдаем 254-процентный рост активности троянца для Linux под названием XorDdos», — говорится в сообщении Microsoft. Еще один недостаток, который доказывает, что в Linux нет ничего, что делало бы его более надежным, чем Windows?

Одни только DDoS-атаки могут быть очень проблематичными по многим причинам, но эти атаки также их можно использовать в качестве прикрытия для сокрытия других вредоносных действий, таких как развертывание вредоносных программ и проникновение в целевые системы. Использование ботнета для проведения DDoS-атак потенциально может привести к серьезным нарушениям, таким как DDoS-атака со скоростью 2,4 Тбит/с, которую Microsoft предотвратила в августе 2021 года.

Ботнеты также могут использоваться для компрометации других устройств., и известно, что XorDdos использует атаки грубой силы Secure Shell (SSH) для удаленного управления целевыми устройствами. SSH является одним из наиболее распространенных протоколов в ИТ-инфраструктурах и позволяет осуществлять зашифрованную связь по незащищенным сетям для управления удаленными системами, что делает его привлекательным вектором для злоумышленников.

После того, как XorDdos идентифицирует действительные учетные данные SSH, он использует привилегии root для запуска сценария, который загружает и устанавливает XorDdos на целевом устройстве.

XorDdos использует механизмы уклонения и сохранения которые делают их операции надежными и скрытными. Его возможности уклонения включают запутывание действий вредоносных программ, обход механизмов обнаружения на основе правил и поиск вредоносных файлов на основе хэшей, а также использование антикриминалистических методов для взлома анализа дерева процессов.

Microsoft утверждает, что в недавних кампаниях XorDdos скрывает вредоносную активность сканирования, перезаписывая конфиденциальные файлы нулевым байтом. Он также включает несколько механизмов сохранения для поддержки различных дистрибутивов Linux. XorDdos может проиллюстрировать еще одну тенденцию, наблюдаемую на различных платформах, где вредоносное ПО используется для создания других опасных угроз.

Майкрософт также говорит, что обнаружил, что устройства, сначала зараженные XorDdos, позже были заражены другими вредоносными программами, в качестве бэкдора, который затем реализуется майнером монет XMRig.

«Хотя мы не наблюдали, чтобы XorDdos напрямую устанавливал и распространял вторичные полезные нагрузки, такие как Tsunami, вполне возможно, что троянец используется в качестве вектора для отслеживания действий», — говорится в сообщении Microsoft.

КсорДдос распространяется в основном через перебор SSH. Он использует вредоносный сценарий оболочки для проверки различных комбинаций корневых учетных данных на тысячах серверов, пока не найдет совпадение на целевом устройстве Linux. В результате на устройствах, зараженных вредоносным ПО, можно увидеть много неудачных попыток входа в систему:

Microsoft определила два метода доступа инициал XorDdos. Первый способ — скопировать вредоносный ELF-файл во временное файловое хранилище /dev/shm и затем запустить его. Файлы, записанные в /dev/shm, удаляются при перезагрузке системы, что позволяет скрыть источник заражения во время судебного анализа.

Второй метод заключается в запуске сценария bash, который выполняет следующие действия через командную строку, перебирает следующие папки, чтобы найти доступный для записи каталог.

Модульная природа XorDdos предоставляет злоумышленникам универсальный троянец, способный заражать различные архитектуры систем Linux. Их SSH-атаки методом перебора — относительно простая, но эффективная техника для получения root-доступа к ряду потенциальных целей.

XorDdos, способный украсть конфиденциальные данные, установить руткит-устройство, использовать различные механизмы уклонения и сохранения, а также выполнять DDoS-атаки, позволяет хакерам создавать потенциально серьезные сбои в работе целевых систем. Кроме того, XorDdos можно использовать для внедрения других опасных угроз или предоставления вектора для отслеживания действий.

По данным Microsoft, используя информацию из встроенных данных об угрозах, включая эвристику клиента и облака, модели машинного обучения, анализ памяти и мониторинг поведения, Microsoft Defender для конечных точек может обнаруживать и устранять XorDdos и его модульные многоэтапные атаки.

Наконец, если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.