Microsoft: этот ботнет быстро растёт и охотится за серверами со слабыми паролями

Защитите свои серверы Linux от XorDdos, ботнета, сканирующего Интернет на предмет SSH-серверов со слабыми паролями, предупреждает Microsoft.

За последние несколько месяцев в Microsoft зафиксировали рост активности XorDDoS на 254 %, сети зараженных Linux-машин, созданной примерно восемь лет назад и используемой для распределенных атак типа "отказ в обслуживании" (DDoS).

XorDdos проводит автоматические атаки с подбором паролей на тысячах серверов Linux, чтобы найти соответствующие учетные данные администратора, используемые на серверах Secure Shell (SSH). SSH — это безопасный сетевой протокол связи, обычно используемый для удаленного администрирования системы.

После получения учетных данных ботнет использует права root для установки на устройство Linux и использует шифрование на основе XOR для связи с инфраструктурой управления и контроля злоумышленника.

ВИДЕТЬ: Microsoft предупреждает: у этого ботнета есть новые трюки для атак на системы Linux и Windows

Хотя DDoS-атаки представляют собой серьезную угрозу доступности системы и их масштабы растут с каждым годом, Microsoft обеспокоена другими возможностями этих ботнетов.

«Мы обнаружили, что устройства, сначала зараженные XorDdos, позже были заражены дополнительным вредоносным ПО, таким как бэкдор Tsunami, который дополнительно использует майнер монет XMRig», — отмечает Microsoft.

По данным Crowdstrike, XorDDoS был одним из самых активных семейств вредоносных программ для Linux в 2021 году. Вредоносное ПО развилось благодаря росту устройств Интернета вещей (IoT), которые в основном работают на вариантах Linux, но оно также нацелено на неправильно сконфигурированные кластеры Docker в облаке. Другие ведущие семейства вредоносных программ, нацеленные на устройства Интернета вещей, включают Mirai и Mozi.

Microsoft не видела, чтобы XorDdos напрямую устанавливал и распространял бэкдор Tsunami, но исследователи полагают, что XorDdos используется в качестве вектора для последующих вредоносных действий.

XorDdos может скрывать свою деятельность от обычных методов обнаружения. В ходе недавней кампании Microsoft увидела, что конфиденциальные файлы перезаписываются нулевым байтом.

«Его возможности уклонения включают в себя запутывание действий вредоносного ПО, обход механизмов обнаружения на основе правил и поиска вредоносных файлов на основе хеша, а также использование антикриминалистических методов для взлома анализа на основе дерева процессов. В недавних кампаниях мы наблюдали, что XorDdos скрывает вредоносные действия. из анализа путем перезаписи конфиденциальных файлов нулевым байтом. Он также включает в себя различные механизмы сохранения для поддержки различных дистрибутивов Linux», — отмечает Microsoft.

Полезная нагрузка XorDdos, проанализированная Microsoft, представляет собой 32-битный ELF-файл в формате Linux с модульным двоичным кодом, написанным на C/C++. Microsoft отмечает, что XorDdos использует процесс-демон, который работает в фоновом режиме, вне контроля пользователей, и завершается при выключении системы.

ВИДИТЕ: Как раз вовремя? Руководители наконец осознают угрозу кибербезопасности

Но вредоносное ПО может автоматически перезапускаться при перезапуске системы благодаря нескольким сценариям и командам, которые заставляют его автоматически запускаться при загрузке системы.

XorDdoS может выполнять несколько методов DDoS-атак, включая SYN-флуд, DNS-атаки и ACK-флуды.

Он собирает характеристики зараженного устройства, включая магическую строку, версию ОС, версию вредоносного ПО, наличие руткита, статистику памяти, информацию о процессоре и скорости локальной сети, которые шифруются, а затем отправляются на сервер C2.