مایکروسافت: این بات نت به سرعت در حال رشد است و به دنبال سرورهایی با رمزهای عبور ضعیف است

مایکروسافت طی چند ماه گذشته شاهد افزایش ۲۵۴ درصدی فعالیت XorDDoS بوده است، یک شبکه تقریباً هشت ساله از ماشین‌های لینوکس آلوده که برای حملات انکار سرویس توزیع شده (DDoS) استفاده می‌شود.

XorDdos حملات حدس زدن رمز عبور خودکار را در هزاران سرور لینوکس انجام می‌دهد تا اعتبار مدیر منطبق مورد استفاده در سرورهای Secure Shell (SSH) را پیدا کند. SSH یک پروتکل ارتباطی شبکه ایمن است که معمولاً برای مدیریت سیستم از راه دور استفاده می شود.

پس از به دست آوردن اعتبار، بات نت از حقوق ریشه برای نصب خود بر روی یک دستگاه لینوکس استفاده می کند و از رمزگذاری مبتنی بر XOR برای برقراری ارتباط با زیرساخت فرمان و کنترل مهاجم استفاده می کند.

دیدن: مایکروسافت هشدار می دهد: این بات نت ترفندهای جدیدی برای هدف قرار دادن سیستم های لینوکس و ویندوز دارد

در حالی که حملات DDoS یک تهدیدی جدی برای در دسترس بودن سیستم است و هر سال بر اندازه آنها افزوده می شود، مایکروسافت نگران سایر قابلیت های این بات نت ها است.

ما متوجه شدیم که دستگاه‌هایی که ابتدا به XorDdos آلوده شده‌اند، بعداً با بدافزارهای اضافی مانند درپشتی سونامی که استخراج کننده سکه XMRig را گسترش می‌دهد، آلوده شدند.» یادداشت های مایکروسافت.

XorDDoS یکی از آنها بود فعال ترین خانواده بدافزار مبتنی بر لینوکس در سال 2021به گزارش Crowdstrike. بدافزار رشد کرده است دستگاه های اینترنت اشیا (IoT).، که بیشتر بر روی انواع لینوکس اجرا می شود، اما خوشه های Docker پیکربندی نادرست در ابر را نیز هدف قرار داده است. سایر خانواده‌های بدافزار برتر که دستگاه‌های IoT را هدف قرار می‌دهند عبارتند از Mirai و Mozi.

مایکروسافت ندید که XorDdos مستقیماً درب پشتی سونامی را نصب و توزیع کند، اما محققان آن فکر می‌کنند که XorDdos به عنوان یک بردار برای فعالیت‌های مخرب بعدی استفاده می‌شود.

XorDdos می تواند فعالیت های خود را از تکنیک های تشخیص رایج پنهان کند. در کمپین اخیر، مایکروسافت دید که فایل‌های حساس را با یک بایت پوچ بازنویسی می‌کند.

“قابلیت‌های فرار آن شامل مبهم کردن فعالیت‌های بدافزار، فرار از مکانیسم‌های تشخیص مبتنی بر قانون و جستجوی فایل‌های مخرب مبتنی بر هش، و همچنین استفاده از تکنیک‌های ضد قانونی برای شکستن تجزیه و تحلیل مبتنی بر درخت است. ما در کمپین‌های اخیر مشاهده کردیم که XorDdos فعالیت‌های مخرب را پنهان می‌کند. مایکروسافت خاطرنشان می‌کند که از تجزیه و تحلیل با رونویسی فایل‌های حساس با یک بایت پوچ. همچنین شامل مکانیسم‌های پایداری مختلفی برای پشتیبانی از توزیع‌های مختلف لینوکس است.

محموله XorDdos که مایکروسافت تجزیه و تحلیل کرد، یک فایل ELF با فرمت لینوکس 32 بیتی با یک باینری مدولار است که در C/C++ نوشته شده است. یادداشت‌های مایکروسافت XorDdos از یک فرآیند دیمونی استفاده می‌کند که در پس‌زمینه، خارج از کنترل کاربران اجرا می‌شود و زمانی که سیستم خاموش می‌شود، پایان می‌یابد.

دیدن: درست سر وقت؟ روسا بالاخره با تهدید امنیت سایبری بیدار می شوند

اما بدافزار می‌تواند به‌طور خودکار هنگام راه‌اندازی مجدد سیستم، به لطف چندین اسکریپت و دستوراتی که باعث می‌شود هنگام بوت شدن سیستم، به‌طور خودکار اجرا شود، دوباره راه‌اندازی شود.

XorDdoS می تواند چندین تکنیک حمله DDoS از جمله حملات سیل SYN، حملات DNS و حملات سیل ACK را انجام دهد.

این ویژگی‌های دستگاه آلوده را جمع‌آوری می‌کند، از جمله رشته جادویی، نسخه انتشار سیستم‌عامل، نسخه بدافزار، حضور روت کیت، آمار حافظه، اطلاعات CPU و سرعت LAN، که رمزگذاری شده و سپس به سرور C2 ارسال می‌شود.