-
06/07/2013
-
797
-
1.304 bài viết
Microsoft cảnh báo mã độc XorDdos nhắm vào thiết bị dùng Linux
Theo nghiên cứu mới nhất của Microsoft, một dòng botnet Linux có tên XorDdos đang tăng cường hoạt động lên 254% trong vòng 6 tháng qua.
Tên XorDdos bắt nguồn từ các cuộc tấn công từ chối dịch vụ trên các hệ thống Linux và sử dụng mã hóa dựa trên XOR để liên lạc với máy chủ C2 (command-and-control), hoạt động ít nhất từ năm 2014.
Ratnesh Pandey, Yevgeny Kulakov và Jonathan Bar Or thuộc Nhóm nghiên cứu Microsoft 365 Defender cho biết trong một nghiên cứu về mã độc này: "Bản chất mô-đun của XorDdos cung cấp cho những kẻ tấn công một loại trojan đa năng có khả năng lây nhiễm nhiều loại kiến trúc hệ thống Linux".
"Các cuộc tấn công brute-force SSH của XorDdos có kỹ thuật tương đối đơn giản nhưng mang lại hiệu quả cao, cho phép chiếm được quyền truy cập root đối với một số mục tiêu tiềm năng", nhà nghiên cứu cho biết thêm.
Khả năng kiểm soát từ xa đối với thiết bị IoT dễ bị tấn công và các thiết bị kết nối internet khác được thực hiện bằng các cuộc tấn công brute-force vào SSH, cho phép mã độc tạo thành một mạng botnet có khả năng thực hiện các cuộc tấn công DDos.
Bên cạnh việc được biên dịch cho các kiến trúc ARM, x86 và x64, mã độc này còn được thiết kế để hỗ trợ các bản phân phối Linux khác nhau, chưa kể còn đi kèm với các tính năng thu thập thông tin nhạy cảm, cài đặt rootkit và hoạt động như một vector cho các hành vi nghiêm trọng hơn.
Trong một dấu hiệu khác cho thấy mã độc này có thể hoạt động như một cầu nối dẫn đến các mối đe dọa khác, những thiết bị ban đầu bị XorDdos tấn công sẽ bị nhiễm một trojan Linux khác có tên là Tsunami, từ đó triển khai công cụ khai thác XMRig.
Trong những năm gần đây, XorDdos nhắm mục tiêu vào các máy chủ Docker không được bảo vệ qua cổng 2375, sử dụng các hệ thống nạn nhân để tấn công các mục tiêu khác khiến các máy chủ không thể truy cập được.
Theo công ty an ninh mạng CrowdStrike, XorDdos trở thành mối đe dọa hàng đầu nhắm mục tiêu vào Linux trong năm 2021, theo sau là là Mirai và Mozi, chiếm hơn 22% tổng số phần mềm độc hại IoT được phát hiện.
Các nhà nghiên cứu lưu ý: "XorDdos sử dụng các cơ chế tránh phát hiện và bền bỉ, cho phép mã độc duy trì hoạt động một cách mạnh mẽ và bí mật. Cơ chế tránh phát hiện của mã độc bao gồm các hành vi làm nhiễu các phần mềm chống mã độc, tránh các cơ chế phát hiện dựa trên rule-based/ hash-based , cũng như sử dụng các kỹ thuật anti-forensic để phá vỡ quy trình phân tích tree-based".
Tên XorDdos bắt nguồn từ các cuộc tấn công từ chối dịch vụ trên các hệ thống Linux và sử dụng mã hóa dựa trên XOR để liên lạc với máy chủ C2 (command-and-control), hoạt động ít nhất từ năm 2014.
Ratnesh Pandey, Yevgeny Kulakov và Jonathan Bar Or thuộc Nhóm nghiên cứu Microsoft 365 Defender cho biết trong một nghiên cứu về mã độc này: "Bản chất mô-đun của XorDdos cung cấp cho những kẻ tấn công một loại trojan đa năng có khả năng lây nhiễm nhiều loại kiến trúc hệ thống Linux".
"Các cuộc tấn công brute-force SSH của XorDdos có kỹ thuật tương đối đơn giản nhưng mang lại hiệu quả cao, cho phép chiếm được quyền truy cập root đối với một số mục tiêu tiềm năng", nhà nghiên cứu cho biết thêm.
Khả năng kiểm soát từ xa đối với thiết bị IoT dễ bị tấn công và các thiết bị kết nối internet khác được thực hiện bằng các cuộc tấn công brute-force vào SSH, cho phép mã độc tạo thành một mạng botnet có khả năng thực hiện các cuộc tấn công DDos.
Bên cạnh việc được biên dịch cho các kiến trúc ARM, x86 và x64, mã độc này còn được thiết kế để hỗ trợ các bản phân phối Linux khác nhau, chưa kể còn đi kèm với các tính năng thu thập thông tin nhạy cảm, cài đặt rootkit và hoạt động như một vector cho các hành vi nghiêm trọng hơn.
Trong một dấu hiệu khác cho thấy mã độc này có thể hoạt động như một cầu nối dẫn đến các mối đe dọa khác, những thiết bị ban đầu bị XorDdos tấn công sẽ bị nhiễm một trojan Linux khác có tên là Tsunami, từ đó triển khai công cụ khai thác XMRig.
Trong những năm gần đây, XorDdos nhắm mục tiêu vào các máy chủ Docker không được bảo vệ qua cổng 2375, sử dụng các hệ thống nạn nhân để tấn công các mục tiêu khác khiến các máy chủ không thể truy cập được.
Theo công ty an ninh mạng CrowdStrike, XorDdos trở thành mối đe dọa hàng đầu nhắm mục tiêu vào Linux trong năm 2021, theo sau là là Mirai và Mozi, chiếm hơn 22% tổng số phần mềm độc hại IoT được phát hiện.
Các nhà nghiên cứu lưu ý: "XorDdos sử dụng các cơ chế tránh phát hiện và bền bỉ, cho phép mã độc duy trì hoạt động một cách mạnh mẽ và bí mật. Cơ chế tránh phát hiện của mã độc bao gồm các hành vi làm nhiễu các phần mềm chống mã độc, tránh các cơ chế phát hiện dựa trên rule-based/ hash-based , cũng như sử dụng các kỹ thuật anti-forensic để phá vỡ quy trình phân tích tree-based".
Nguồn: Thehackernews
Chỉnh sửa lần cuối bởi người điều hành: