XorDdos – Linux Güçlü DDoS Kötü Amaçlı Yazılım Saldırısı
Geçtiğimiz altı ay boyunca, XorDdos adlı gizli ve modüler bir Linux kötü amaçlı yazılımı, faaliyetlerinde %254'lük önemli bir artışa tanık oldu.
Bu kötü amaçlı yazılım neden "XorDdos" olarak adlandırıldı?
C2 sunucularıyla iletişim kurarken bu gizli kötü amaçlı yazılım, XOR tabanlı şifreleme kullanır ve yalnızca güvenliği ihlal edilmiş cihazlardaki tehdit aktörleri tarafından DDoS saldırılarını başlatmak için kullanılmaz.
Bu yüzden bu gizli ve modüler Linux kötü amaçlı yazılımı "XorDdos" olarak bilinir ve görünüşe göre, kötü amaçlı yazılım en az 2014'ten beri aktiftir, ancak ilk keşfedildiğinde bilinmemektedir.
Gizli ve kaldırılması zor kalmak için, botnet'in farklı kaçınma ve kalıcılık taktikleri kullanması muhtemeldir.
Microsoft 365 Defender Araştırma Ekibi şunları söyledi:
"Kaçınma yetenekleri, kötü amaçlı yazılımın faaliyetlerini gizlemeyi, kural tabanlı algılama mekanizmalarından ve karma tabanlı kötü amaçlı dosya aramasından kaçınmayı ve ayrıca süreç ağacı tabanlı analizi kırmak için anti-adli teknikler kullanmayı içerir."
"Son kampanyalarda, XorDdos'un boş baytla hassas dosyaların üzerine yazarak kötü amaçlı etkinlikleri analizden gizlediğini gözlemledik."
Teknik Analiz
SSH kaba kuvvet saldırılarının bir parçası olarak XorDDoS, Linux sistemlerini ARM'den (IoT) x64'e (sunucular) kadar tehlikeye atar ve buna karşı savunmasız olan Linux sistemlerini hedefler.
Bir eşleşme bulunana kadar çevrimiçi olarak bulunan yeni bilgisayarlara farklı parolalarla kök olarak oturum açarak mümkün olduğunca çok makineye yaymak için bir kabuk komut dosyası kullanır.
XorDDoS'un operatörleri, kötü amaçlı yazılımı yalnızca savunmasız sistemlere karşı DDoS saldırıları başlatmak için değil, aynı zamanda aşağıdakileri dağıtmak için de kullanır:
- Rootkit'leri yükleme
- Saldırıya uğramış cihazlara erişimi sürdürme
- Daha fazla kötü amaçlı veri bırakma
XorDdos tarafından güvenliği ihlal edilen cihazlara, ihlal edildikten sonra XMRig madencisini yükleyen bir Linux Truva Atı olan Tsunami de bulaşabilir. XorDdos'un son birkaç yıldır korumasız Docker sunucularında açık bağlantı noktalarını (2375) hedeflediği bildirildi.
CrowdStrike tarafından hazırlanan bir raporda, Microsoft'un Aralık ayından bu yana tespit ettiği XorDDoS etkinliğindeki büyük artışa göre, 2021 için Linux kötü amaçlı yazılımının büyümesi bir önceki yıla göre %35 daha yüksekti.
Bununla birlikte, XorDDoS, geçen yıl %123'lük bir artışla yıldan yıla faaliyette önemli bir artış yaşadı. Bu yıl vahşi doğada bir önceki yıla göre on kat daha fazla Mozi örneği bulundu ve bu da üstel büyümeyi gösteriyor.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News