这个木马最早是由安全研究机构MalwareMustDie在2014年发现的。它之所以得名,是因为它使用基于XOR的加密,并聚集僵尸网络来执行分布式拒绝服务攻击。“XorDdos描绘了恶意软件越来越多地针对基于Linux的操作系统的趋势,这些操作系统通常部署在云基础设施和物联网(IoT)设备上,”雷德蒙警告说。
为了说明这种趋势,雷德蒙指出,XorDdos恶意软件已经达到了令人震惊的程度,在其八年的恐怖统治期间,感染了不可估量的设备。博客没说。它也没有为254%的增长提供任何基线,微软表示要到下周中期才会有。
微软365 Defender的研究团队写道,“DDoS攻击本身可能有很大的问题,原因有很多,但这种攻击也可以被用作掩盖进一步的恶意活动,例如部署恶意软件和渗透目标系统。”
与Linux僵尸网络同样危险的
Windows 僵尸网络
以针对Windows设备的紫狐恶意软件为例。这个恶意软件也是在2018年发现的。
Guardicore安全研究人员最近写了一篇文章,讲述了自2020年5月以来,这种僵尸网络的恶意活动如何跃升了600%,仅在过去一年就感染了9万多台设备。但是微软在博客中并没有提到这一点。
本周,微软的安全情报团队对Sysrv moreno的新变种发出了警告——为Linux和Windows系统挖掘僵尸网络。
XorDdos 如何逃避检测
指出微软恶意软件利用安全外壳(SSH)暴力攻击来控制目标设备。一旦成功找到根凭据的正确组合,它将使用两种方法之一进行初始访问,这两种方法都会导致运行恶意ELF文件——XorDdos恶意软件。
据研究团队介绍,二进制文件是用C/C编写的,其代码是模块化的。它使用特定的功能来逃避检测。
如上所述,其中之一是基于异或的加密来混淆数据。此外,XorDdos使用守护进程(这些是在后台运行的进程)来中断基于进程树的分析。该恶意软件还使用其内核rootkit组件来隐藏其进程和端口,从而帮助它逃避基于规则的检测。
此外,隐形恶意软件使用多种持久机制来支持不同的Linux发行版,因此它擅长感染一系列不同的系统。
XorDdos和其他针对Linux设备的威胁强调了拥有一个涵盖许多Linux操作系统发行版的全部功能和完全可见性的安全解决方案的重要性。
精彩推荐
注:本文由e-security编译和报道。转载请联系授权并注明出处。
评论留言