近期,微软表示在过去六个月中,一种用于入侵Linux设备并构建DDoS僵尸网络的隐秘模块化恶意软件的活动量大幅增加了254%。该恶意软件从2014年开始活跃,也被称为XorDDoS或XOR DDoS,因为它在与命令和控制(C2)服务器通信时使用基于XOR的加密,并被用于发起分布式拒绝服务(DDoS)攻击。正如该公司透露的那样,僵尸网络的成功可能是由于其广泛使用各种规避和持久性策略,使其能够保持隐秘且难以清除。
微软365Defender研究团队表示,它的规避能力包括混淆恶意软件的活动、规避基于规则的检测机制和基于哈希的恶意文件查找,以及使用反取证技术来破坏基于进程树的分析。“我们在最近的活动中观察到,XorDdos通过用空字节覆盖敏感文件来隐藏恶意活动以防止分析。”
XorDDoS 以针对多种Linux系统架构而闻名,从ARM(物联网)到x64(服务器),并在 SSH 蛮力攻击中破坏易受攻击的架构。为了传播到更多设备,它使用一个shell脚本,该脚本将尝试使用各种密码以 root 身份登录数以千计的互联网公开系统,直到最终找到匹配项。
除了发起DDoS攻击外,恶意软件的操作者还使用XorDDoS僵尸网络安装rootkit,维护对被黑设备的访问,并很可能释放额外的恶意负载。微软补充说:“我们发现,最先感染XorDdos的设备后来又被其他恶意软件感染,比如海啸后门,它还进一步部署了XMRig币挖矿机。虽然我们没有观察到 XorDdos 直接安装和分发像海啸这样的二级有效载荷,但木马有可能被用作后续活动的载体。”
微软自12月以来检测到的 XorDDoS 活动的巨大增长与网络安全公司 CrowdStrike 的一份报告一致,该报告称Linux 恶意软件在2021年与上一年相比增长了 35% 。
XorDDoS、Mirai和Mozi是最流行的攻击种类,占2021年观察到的所有针对 Linux 设备的恶意软件攻击的 22%。在这三者中,CrowdStrike 表示 XorDDoS 同比显着增长了 123%,而 Mozi 的活动呈爆炸式增长,去年全年在野检测到的样本数量增加了 10 倍。Intezer 2021 年 2月的一份报告显示,与2019年相比,2020年Linux恶意软件种类增加了约 40%。
参考来源
https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/