近期，微軟表示在過(guò)去六個(gè)月中，一種用于入侵Linux設(shè)備并構(gòu)建DDoS僵尸網(wǎng)絡(luò)的隱秘模塊化惡意軟件的活動(dòng)量大幅增加了254%。該惡意軟件從2014年開(kāi)始活躍，也被稱為XorDDoS或XOR DDoS，因?yàn)樗谂c命令和控制(C2)服務(wù)器通信時(shí)使用基于XOR的加密，并被用于發(fā)起分布式拒絕服務(wù)(DDoS)攻擊。正如該公司透露的那樣，僵尸網(wǎng)絡(luò)的成功可能是由于其廣泛使用各種規(guī)避和持久性策略，使其能夠保持隱秘且難以清除。

微軟365Defender研究團(tuán)隊(duì)表示，它的規(guī)避能力包括混淆惡意軟件的活動(dòng)、規(guī)避基于規(guī)則的檢測(cè)機(jī)制和基于哈希的惡意文件查找，以及使用反取證技術(shù)來(lái)破壞基于進(jìn)程樹(shù)的分析。“我們?cè)谧罱幕顒?dòng)中觀察到，XorDdos通過(guò)用空字節(jié)覆蓋敏感文件來(lái)隱藏惡意活動(dòng)以防止分析。”

XorDDoS 以針對(duì)多種Linux系統(tǒng)架構(gòu)而聞名，從ARM(物聯(lián)網(wǎng))到x64(服務(wù)器)，并在 SSH 蠻力攻擊中破壞易受攻擊的架構(gòu)。為了傳播到更多設(shè)備，它使用一個(gè)shell腳本，該腳本將嘗試使用各種密碼以 root 身份登錄數(shù)以千計(jì)的互聯(lián)網(wǎng)公開(kāi)系統(tǒng)，直到最終找到匹配項(xiàng)。

除了發(fā)起DDoS攻擊外，惡意軟件的操作者還使用XorDDoS僵尸網(wǎng)絡(luò)安裝rootkit，維護(hù)對(duì)被黑設(shè)備的訪問(wèn)，并很可能釋放額外的惡意負(fù)載。微軟補(bǔ)充說(shuō):“我們發(fā)現(xiàn)，最先感染XorDdos的設(shè)備后來(lái)又被其他惡意軟件感染，比如海嘯后門，它還進(jìn)一步部署了XMRig幣挖礦機(jī)。雖然我們沒(méi)有觀察到 XorDdos 直接安裝和分發(fā)像海嘯這樣的二級(jí)有效載荷，但木馬有可能被用作后續(xù)活動(dòng)的載體。”

微軟自12月以來(lái)檢測(cè)到的 XorDDoS 活動(dòng)的巨大增長(zhǎng)與網(wǎng)絡(luò)安全公司 CrowdStrike 的一份報(bào)告一致，該報(bào)告稱Linux 惡意軟件在2021年與上一年相比增長(zhǎng)了 35% 。

XorDDoS、Mirai和Mozi是最流行的攻擊種類，占2021年觀察到的所有針對(duì) Linux 設(shè)備的惡意軟件攻擊的 22%。在這三者中，CrowdStrike 表示 XorDDoS 同比顯著增長(zhǎng)了 123%，而 Mozi 的活動(dòng)呈爆炸式增長(zhǎng)，去年全年在野檢測(cè)到的樣本數(shù)量增加了 10 倍。Intezer 2021 年 2月的一份報(bào)告顯示，與2019年相比，2020年Linux惡意軟件種類增加了約 40%。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/