Linux|微软警告以 Linux 设备为目标的 XorDdos 恶意软件增多

文章图片

根据微软的最新研究，在过去六个月中，一种名为 XorDdos 的 Linux 僵尸网络恶意软件的活动激增了 254% 。
【Linux|微软警告以 Linux 设备为目标的 XorDdos 恶意软件增多】该木马因对 Linux 系统执行拒绝服务攻击而得名，并使用基于 XOR 的加密与其命令和控制 (C2) 服务器进行通信，已知至少自 2014 年以来一直活跃。
“XorDdos 的模块化特性为攻击者提供了一种多功能木马，能够感染各种 Linux 系统架构， ”Microsoft 365 Defender 研究团队的 Ratnesh Pandey、Yevgeny Kulakov 和 Jonathan Bar Or 在对恶意软件的详尽深入研究中说。
“它的 SSH 蛮力攻击是一种相对简单但有效的技术，可以获取对许多潜在目标的 root 访问权限。 ”
通过安全外壳 (SSH) 暴力攻击获得对易受攻击的物联网和其他互联网连接设备的远程控制，使恶意软件能够形成能够进行分布式拒绝服务 (DDoS) 攻击的僵尸网络。

除了针对 ARM、x86 和 x64 架构进行编译之外，该恶意软件还旨在支持不同的 Linux 发行版，更不用说具有虹吸敏感信息、安装 rootkit 以及充当后续活动载体的功能。
进一步表明该恶意软件可能充当其他威胁的渠道，最初被 XorDdos 破坏的设备随后被另一个名为 Tsunami 的 Linux 木马感染，该木马随后部署了 XMRig 硬币矿工。
近年来， XorDdos 以暴露端口 (2375) 的未受保护的 Docker 服务器为目标，使用受害系统以虚假流量淹没目标网络或服务，以使其无法访问。
根据网络安全公司CrowdStrike的说法， XorDdos此后成为2021年最主要的Linux目标威胁，其次是Mirai和Mozi ，占所有在野外观察到的物联网恶意软件的22%以上。
\"研究人员指出：\"XorDdos使用逃避和持久性机制，使其操作保持强大和隐蔽。
\"它的规避能力包括混淆恶意软件的活动，规避基于规则的检测机制和基于哈希的恶意文件查找，以及使用反取证技术来打破基于进程树的分析。 \"