Microsoft: Este botnet está crescendo rapidamente e procurando servidores com senhas fracas
Proteja seus servidores Linux do XorDdos, um botnet que escaneia a Internet em busca de servidores SSH com senhas fracas, alerta a Microsoft.
A Microsoft viu um aumento de 254% na atividade nos últimos meses do XorDDoS, uma rede de máquinas Linux infectadas com cerca de oito anos de idade que é usada para ataques distribuídos de negação de serviço (DDoS).
O XorDdos conduz ataques automatizados de adivinhação de senha em milhares de servidores Linux para encontrar credenciais de administrador correspondentes usadas em servidores Secure Shell (SSH). SSH é um protocolo de comunicação de rede seguro comumente usado para administração remota de sistemas.
Depois que as credenciais são obtidas, o botnet usa privilégios de root para se instalar em um dispositivo Linux e usa criptografia baseada em XOR para se comunicar com a infraestrutura de comando e controle do invasor.
VEJA: Microsoft avisa: Este botnet tem novos truques para atingir sistemas Linux e Windows
Embora os ataques DDoS sejam uma séria ameaça à disponibilidade do sistema e aumentem de tamanho a cada ano, a Microsoft está preocupada com outras capacidades dessas botnets.
“Descobrimos que os dispositivos infectados inicialmente com XorDdos foram posteriormente infectados com malware adicional, como o backdoor Tsunami, que implanta ainda mais o minerador de moedas XMRig”, observa a Microsoft.
O XorDDoS foi uma das famílias de malware baseadas em Linux mais ativas de 2021, de acordo com a Crowdstrike. O malware prosperou com o crescimento dos dispositivos da Internet das Coisas (IoT), que rodam principalmente em variantes do Linux, mas também teve como alvo clusters Docker mal configurados na nuvem. Outras principais famílias de malware direcionadas a dispositivos IoT incluem Mirai e Mozi.
A Microsoft não viu o XorDdos instalando e distribuindo diretamente o backdoor Tsunami, mas seus pesquisadores acreditam que o XorDdos é usado como um vetor para atividades maliciosas subsequentes.
O XorDdos pode ocultar suas atividades de técnicas de detecção comuns. Em uma campanha recente, a Microsoft viu a substituição de arquivos confidenciais por um byte nulo.
“Seus recursos de evasão incluem ofuscar as atividades do malware, evitar mecanismos de detecção baseados em regras e pesquisa de arquivos maliciosos baseados em hash, bem como usar técnicas anti-forenses para quebrar a análise baseada em árvore de processos. Observamos em campanhas recentes que o XorDdos esconde atividades maliciosas da análise, substituindo arquivos confidenciais por um byte nulo. Ele também inclui vários mecanismos de persistência para oferecer suporte a diferentes distribuições Linux", observa a Microsoft.
A carga útil do XorDdos analisada pela Microsoft é um arquivo ELF no formato Linux de 32 bits com um binário modular escrito em C/C++. A Microsoft observa que o XorDdos usa um processo daemon que é executado em segundo plano, fora do controle dos usuários, e termina quando o sistema é desligado.
VEJA: Na hora certa? Os chefes estão finalmente acordando para a ameaça à segurança cibernética
Mas o malware pode ser reiniciado automaticamente quando um sistema é reiniciado, graças a vários scripts e comandos que fazem com que ele seja executado automaticamente quando o sistema é inicializado.
O XorDdoS pode executar várias técnicas de ataque DDoS, incluindo ataques de inundação SYN, ataques de DNS e ataques de inundação ACK.
Ele coleta características sobre um dispositivo infectado, incluindo string mágica, versão do sistema operacional, versão do malware, presença de rootkit, estatísticas de memória, informações da CPU e velocidade da LAN, que são criptografadas e enviadas ao servidor C2.