office-4628589_640

微软警告 Linux 木马 XorDdos 攻击激增,主要针对云、物联网

  • 浏览次数 10322
  • 喜欢 0
  • 评分 12345

微软发现,被称为XorDdos的Linux木马的网络犯罪活动正在增加,该报告发现,在过去六个月中,针对 Linux 端点使用该恶意软件的恶意活动增加了 254%,主要针对云、物联网。

该木马由安全研究组织 MalwareMustDie 于2014年首次发现,以其使用基于XOR的加密以及聚集僵尸网络执行分布式拒绝服务攻击的事实而得名。“XorDdos 描绘了恶意软件越来越多地针对基于Linux的操作系统的趋势,这些操作系统通常部署在云基础设施和物联网 (IoT) 设备上,”Redmond警告说。

为了说明这一趋势,Redmond 指出,在XorDdos恶意软件长达8年的恐怖统治过程中,它已经达到了惊人的水平,感染了无法估量设备。博客没有说。它也没有为 254% 的增长提供任何基线,微软表示要到下周中旬才会拥有它们。

Microsoft 365 Defender 研究团队写道:“由于多种原因,DDoS 攻击本身可能存在很大问题,但此类攻击也可以用作隐藏进一步恶意活动的掩护,例如部署恶意软件和渗透目标系统。”

与Linux僵尸网络同样危险的Windows 僵尸网络

以 Windows 设备为目标的 Purple Fox 恶意软件为例,该恶意软件也在 2018 年被发现。

Guardicore 安全研究人员最近写了一篇关于这个僵尸网络的恶意活动如何自 2020 年 5 月以来跃升 600%,仅在过去一年就感染了 90,000 多台设备的文章。但微软并没有在博客中提到这一点。

本周微软的安全情报团队确实警告过针对Linux和Windows系统的Sysrv moreno-mining僵尸网络的新变种。

XorDdos 如何逃避检测

微软指出该恶意软件使用安全外壳 (SSH) 暴力攻击来控制目标设备。一旦成功找到正确的根凭证组合,它就会使用两种方法之一进行初始访问,这两种方法都会导致运行恶意 ELF 文件——XorDdos 恶意软件。

据研究团队称,该二进制文件是用 C/C++ 编写的,其代码是模块化的。它使用特定的功能来逃避检测。

如上所述,其中之一是基于 XOR 的加密来混淆数据。此外,XorDdos 使用守护进程(这些是在后台运行的进程)来破坏基于进程树的分析。该恶意软件还使用其内核 rootkit 组件隐藏其进程和端口,从而帮助其逃避基于规则的检测。

此外,隐形恶意软件使用多种持久性机制来支持不同的 Linux 发行版,因此它擅长感染一系列不同的系统。

XorDdos和其他针对Linux设备的威胁强调了拥有涵盖众多Linux操作系统发行版的全面功能和完整可见性的安全解决方案的重要性。

 


转自 E安全,原文链接:https://mp.weixin.qq.com/s/HcUPLGwbtqxLEP9ykws6xg

封面来源于网络,如有侵权请联系删除