Microsoft alarmı çalar – bekleyin – bir Linux botnet • Kayıt

Microsoft, Linux uç noktalarını ve sunucularını hedefleyen XorDdos adlı DDoS kötü amaçlı yazılımı için alarm verdi.

İlk olarak 2014 yılında güvenlik araştırma grubu MalwareMustDie tarafından keşfedilen truva atı, XOR tabanlı şifrelemeyi kullanması ve dağıtılmış hizmet reddi saldırılarını gerçekleştirmek için botnetleri biriktirmesi gerçeğinden almıştır. Son altı ayda Microsoft tehdit araştırmacıları, kötü amaçlı yazılımın etkinliğinde yüzde 254’lük bir artışa tanık olduklarını söylüyorlar.

Redmond, “XorDdos, bulut altyapılarında ve Nesnelerin İnterneti (IoT) cihazlarında yaygın olarak kullanılan Linux tabanlı işletim sistemlerini giderek daha fazla hedefleyen kötü amaçlı yazılım eğilimini gösteriyor.” uyardı.

Ve bu eğilimi göstermek için Redmond, XorDdos kötü amaçlı yazılımının 8 yıllık terör saltanatı boyunca, büyük bir darbe aldığını kaydetti (Microsoft’un numaralarını kontrol eder) … err, kaç cihaza bulaştığı hakkında hiçbir fikrimiz yok. Blog öyle demiyor. Ayrıca yüzde 254’lük artış için herhangi bir temel de vermiyor. Ve Microsoft, gelecek haftanın ortasına kadar onlara sahip olmayacağını söyledi.

Açık olmak gerekirse, son aylarda gördüğümüz gibi, DDoS saldırılarının yıkıcı doğasını en aza indirmiyoruz. silahlı haydut uluslar ve diğer zalimler tarafından devlet kurumlarını ve işletmeleri çevrimdışı duruma getirmek için. Ve bu botnetler, savaş bölgelerinde haber ve kamu hizmetleri bilgisi sağlayan web sitelerini bozduğunda, DDoS etkinliği daha da tehlikeli hale geliyor.

Microsoft 365 Defender Araştırma Ekibi, “DDoS saldırıları birçok nedenden dolayı oldukça sorunlu olabilir, ancak bu tür saldırılar, kötü amaçlı yazılım dağıtma ve hedef sistemlere sızma gibi daha fazla kötü amaçlı etkinliği gizlemek için kapak olarak da kullanılabilir.”

Gönülden katılıyoruz.

Ancak Linux botnet’leri kadar tehlikeli olan başka ne var biliyor musunuz? Windows botnet’leri.

Örneğin, yine 2018’de keşfedilen Windows cihazını hedefleyen Purple Fox kötü amaçlı yazılımını ele alalım.

Guardicore güvenlik araştırmacıları yakın zamanda yazdı Bu botnet’in kötü niyetli etkinliğinin Mayıs 2020’den bu yana nasıl yüzde 600 arttığı ve yalnızca geçen yıl 90.000’den fazla cihaza nasıl bulaştığı hakkında. Ancak Microsoft bu konuda blog yazmadı.

Adil olmak gerekirse, Microsoft’un Güvenlik İstihbaratı ekibi bu hafta yaptı uyarmak Hem Linux hem de Windows sistemlerini hedefleyen Sysrv moreno-madencilik botnetinin yeni bir çeşidi hakkında.

Ama oturduğumuz yerden, kesinlikle Redmond’un çok daha fazla neşe bulduğu anlaşılıyor. Linux’a saldırmak aynaya kendi kusurlarına bakmaktan daha iyidir.

XorDdos algılamadan nasıl kurtulur?

XorDdos hakkındaki yeni blogda Microsoft, kötü amaçlı yazılımın hedef cihazlarda kontrol sağlamak için güvenli kabuk (SSH) kaba kuvvet saldırıları kullandığını belirtti. Doğru kök kimlik bilgisi kombinasyonunu başarılı bir şekilde bulduğunda, ilk erişim için iki yöntemden birini kullanır ve bunların her ikisi de kötü amaçlı bir ELF dosyası – XorDdos kötü amaçlı yazılımının çalıştırılmasına neden olur.

Araştırma ekibine göre ikili dosya C / C ++ ile programlanmıştır ve kodu modülerdir. Ve algılamadan kaçınmak için belirli işlevleri kullanır.

Yukarıda belirtildiği gibi, bunlardan biri verileri gizlemek için XOR tabanlı şifrelemedir. Ek olarak, XorDdos, ağaç tabanlı analiz sürecini kırmak için arka plan işlemlerini (bunlar arka planda çalışan işlemlerdir) kullanır. Kötü amaçlı yazılım ayrıca işlemlerini ve bağlantı noktalarını gizlemek için çekirdek kök kullanıcı takımı bileşenini kullanır ve böylece kural tabanlı algılamadan kurtulmasına yardımcı olur.

Ek olarak, gizli kötü amaçlı yazılım, farklı Linux dağıtımlarını desteklemek için çeşitli kalıcılık mekanizmaları kullanır, bu nedenle bir dizi farklı sisteme bulaşmakta iyidir.

Redmond, blogda, “XorDdos ve Linux cihazlarını hedef alan diğer tehditler, kapsamlı yeteneklere ve çok sayıda Linux işletim sistemi dağıtımını kapsayan eksiksiz görünürlüğe sahip güvenlik çözümlerine sahip olmanın ne kadar önemli olduğunu vurguluyor” dedi.

Ve bilin bakalım söz konusu güvenlik çözümlerini kim satıyor? ®