Linux sistemlerine hizmet reddi saldırıları gerçekleştirmesi ve komuta ve kontrol (C2) sunucusuyla iletişim için XOR tabanlı şifreleme kullanması olarak adlandırılan truva atının en az 2014'ten beri aktif olduğu biliniyor.
Microsoft 365 Defender Araştırma Ekibi'nden Ratnesh Pandey, Yevgeny Kulakov ve Jonathan Bar Or, kötü amaçlı yazılımın kapsamlı bir incelemesinde, "XorDdos'un modüler yapısı, saldırganlara çeşitli Linux sistem mimarilerine bulaşabilen çok yönlü bir truva atı sağlıyor" dedi.
"SSH kaba kuvvet saldırıları, bir dizi potansiyel hedef üzerinde kök erişimi elde etmek için nispeten basit ama etkili bir tekniktir."
Güvenlik açığı bulunan IoT ve diğer internet bağlantılı cihazlar üzerinde uzaktan kontrol, güvenli kabuk (SSH) kaba kuvvet saldırıları aracılığıyla elde edilir ve kötü amaçlı yazılımın dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirebilen bir botnet oluşturmasını sağlar.
Kötü amaçlı yazılım, ARM, x86 ve x64 mimarileri için derlenmesinin yanı sıra, farklı Linux dağıtımlarını desteklemek üzere tasarlanmıştır; ayrıca hassas bilgileri sifonlama, bir kök kullanıcı takımı kurma ve sonraki etkinlikler için bir vektör görevi görme özellikleriyle birlikte gelir.
Kötü amaçlı yazılımın diğer tehditler için bir kanal görevi görebileceğinin bir başka işareti olarak, başlangıçta XorDdos ile ihlal edilen cihazlara daha sonra Tsunami adlı başka bir Linux truva atı bulaşıyor ve bu daha sonra XMRig madeni para madencisini dağıtıyor.
Son yıllarda, XorDdos, açıkta kalan bağlantı noktalarına (2375) sahip korumasız Docker sunucularını hedef alarak, kurban edilmiş sistemleri kullanarak bir hedef ağı veya sahte trafiğe sahip hizmeti erişilemez kılmak için bunalttı.
XorDdos, o zamandan beri 2021'de Linux hedefli en büyük tehdit olarak ortaya çıktı ve onu siber güvenlik firması CrowdStrike'a göre vahşi ortamda gözlemlenen tüm IoT kötü amaçlı yazılımlarının %22'sinden fazlasını oluşturan Mirai ve Mozi izledi.
Araştırmacılar, "XorDdos, operasyonlarının sağlam ve gizli kalmasını sağlayan kaçınma ve kalıcılık mekanizmalarını kullanıyor" dedi.
"Kaçış yetenekleri arasında kötü amaçlı yazılımın etkinliklerini gizlemek, kural tabanlı algılama mekanizmalarından ve karma tabanlı kötü amaçlı dosya aramasından kaçınmak ve ayrıca süreç ağacı tabanlı analizi kırmak için adli tıp karşıtı teknikler kullanmak yer alıyor."
Kaynak
