freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

微软检测到Linux XorDDoS恶意软件活动激增
2022-05-20 13:44:41
所属地 上海

近期,微软表示在过去六个月中,一种用于入侵Linux设备并构建DDoS僵尸网络的隐秘模块化恶意软件的活动量大幅增加了254%。该恶意软件从2014年开始活跃,也被称为XorDDoS或XOR DDoS,因为它在与命令和控制(C2)服务器通信时使用基于XOR的加密,并被用于发起分布式拒绝服务(DDoS)攻击。正如该公司透露的那样,僵尸网络的成功可能是由于其广泛使用各种规避和持久性策略,使其能够保持隐秘且难以清除。

微软365Defender研究团队表示,它的规避能力包括混淆恶意软件的活动、规避基于规则的检测机制和基于哈希的恶意文件查找,以及使用反取证技术来破坏基于进程树的分析。“我们在最近的活动中观察到,XorDdos通过用空字节覆盖敏感文件来隐藏恶意活动以防止分析。”

XorDDoS 以针对多种Linux系统架构而闻名,从ARM(物联网)到x64(服务器),并在 SSH 蛮力攻击中破坏易受攻击的架构。为了传播到更多设备,它使用一个shell脚本,该脚本将尝试使用各种密码以 root 身份登录数以千计的互联网公开系统,直到最终找到匹配项。

除了发起DDoS攻击外,恶意软件的操作者还使用XorDDoS僵尸网络安装rootkit,维护对被黑设备的访问,并很可能释放额外的恶意负载。微软补充说:“我们发现,最先感染XorDdos的设备后来又被其他恶意软件感染,比如海啸后门,它还进一步部署了XMRig币挖矿机。虽然我们没有观察到 XorDdos 直接安装和分发像海啸这样的二级有效载荷,但木马有可能被用作后续活动的载体。”

微软自12月以来检测到的 XorDDoS 活动的巨大增长与网络安全公司 CrowdStrike 的一份报告一致,该报告称Linux 恶意软件在2021年与上一年相比增长了 35% 。

XorDDoS、Mirai和Mozi是最流行的攻击种类,占2021年观察到的所有针对 Linux 设备的恶意软件攻击的 22%。在这三者中,CrowdStrike 表示 XorDDoS 同比显着增长了 123%,而 Mozi 的活动呈爆炸式增长,去年全年在野检测到的样本数量增加了 10 倍。Intezer 2021 年 2月的一份报告显示,与2019年相比,2020年Linux恶意软件种类增加了约 40%。

参考来源:https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者