Son aylarda Microsoft, dağıtılmış hizmet reddi (DDoS) saldırılarını gerçekleştirmek için kullanılan, yaklaşık sekiz yıllık virüslü Linux makineleri ağı olan XorDDoS’ta etkinlikte %254’lük bir artış gördü.
XorDdos, Secure Shell (SSH) sunucularında kullanılan yönetici parolalarını bulmak için binlerce Linux sunucusuna otomatik parola doldurma saldırıları gerçekleştirir. SSH, uzaktan sistem yönetimi için yaygın olarak kullanılan güvenli bir ağ iletişim protokolüdür.
Kimlik bilgileri alındıktan sonra, botnet kendisini bir Linux cihazına kurmak için yönetici (kök) ayrıcalıklarını kullanır ve saldırganın komuta ve kontrol altyapısıyla iletişim kurmak için XOR şifrelemesini kullanır.
DDoS saldırıları bir sistem kullanılabilirliği için ciddi bir tehdit ve her yıl büyüyorMicrosoft, bu virüslü bilgisayar ağlarının diğer yeteneklerinden endişe duymaktadır.
“İlk olarak XorDdos ile enfekte olan cihazlara daha sonra XMRig kripto para madenciliği yazılımını da kullanan Tsunami arka kapısı gibi diğer kötü amaçlı yazılımlarla bulaştığını bulduk.” Microsoft notu.
Crowdstrike’a göre XorDDoS, Linux kötü amaçlı yazılım ailelerinden biriydi 2021’de en aktif. Bu kötü amaçlı yazılım, nesnelerin interneti cihazlarıçoğunlukla Linux türevlerini çalıştıran, ancak aynı zamanda bulutta yanlış yapılandırılmış Docker kümelerini de hedef alan . Giyilebilir cihazları hedefleyen diğer büyük kötü amaçlı yazılım aileleri arasında Mirai ve Mozi yer alıyor.
Microsoft, XorDdos’un Tsunami arka kapısını doğrudan kurup dağıttığını görmedi, ancak araştırmacıları, XorDdos’un sonraki kötü niyetli faaliyetler için bir vektör olarak kullanıldığına inanıyor.
XorDdos, faaliyetlerini yaygın algılama tekniklerinden gizleyebilir. Yakın tarihli bir kampanyada Microsoft, hassas dosyaların üzerine yazıldığını gördü.
“Süreç ağacında, kötü amaçlı yazılım etkinliklerini gizleme, kural tabanlı algılama mekanizmalarını ve karma tabanlı kötü amaçlı dosya taramalarını atlatmanın yanı sıra kötü amaçlı yazılım tabanlı taramalara karşı adli tıp teknikleri kullanma gibi kaçınma yetenekleri de var. Son kampanyalarda şunu gözlemledik: XorDdos, hassas dosyaların üzerine boş bir bayt yazarak kötü niyetli faaliyetlerini gizler. Ayrıca, farklı Linux dağıtımlarını desteklemek için çeşitli kalıcılık mekanizmaları içerir,” diyor Microsoft.
Microsoft tarafından analiz edilen XorDdos yükü, C/C++ ile yazılmış modüler bir ikili dosya ile Linux formatında 32-bit bir ELF dosyasıdır. Microsoft, XorDdos’un arka planda, kullanıcıların kontrolü dışında çalışan ve sistem kapatıldığında sona eren bir arka plan programı işlemi kullandığını not eder.
Ancak, sistem başlatıldığında otomatik olarak çalışmasını sağlayan birkaç komut dosyası ve komut aracılığıyla sistem yeniden başlatıldığında kötü amaçlı yazılım kendini otomatik olarak yeniden başlatabilir.
XorDdoS, SYN sel saldırıları, DNS saldırıları ve ACK sel saldırıları dahil olmak üzere çeşitli DDoS saldırı teknikleri gerçekleştirebilir.
İşletim sistemi sürümü, kötü amaçlı yazılım sürümü, rootkit varlığı, bellek istatistikleri, CPU bilgileri ve şifrelenen yerel ağ hızı dahil olmak üzere virüslü bir cihazın özelliklerini toplar ve ardından kontrol sunucusuna gönderilir.
Kaynak : “ZDNet.com”