Microsoft s’inquiète de l’expansion du botnet Xor DDoS
Ces derniers mois, Microsoft a constaté une augmentation de 254 % de l’activité de XorDDoS, un réseau de machines Linux infectées vieux d’environ huit ans, utilisé pour mener des attaques par déni de service distribué (DDoS).
XorDdos mène des attaques automatisées de bourrage de mots de passe sur des milliers de serveurs Linux afin de trouver les mots de passe d’administration utilisés sur les serveurs Secure Shell (SSH). SSH est un protocole de communication réseau sécurisé couramment utilisé pour l’administration de systèmes à distance.
Une fois les identifiants obtenus, le botnet utilise les privilèges de l’administrateur (root) pour s’installer sur un appareil Linux et utilise le chiffrement XOR pour communiquer avec l’infrastructure de commande et de contrôle de l’attaquant.
Si les attaques DDoS constituent une menace sérieuse pour la disponibilité des systèmes et prennent de l’ampleur chaque année, Microsoft s’inquiète des autres capacités de ces réseaux d’ordinateurs infectés.
“Nous avons constaté que les appareils d’abord infectés par XorDdos étaient ensuite infectés par d’autres logiciels malveillants tels que la backdoor Tsunami, qui déploie en outre le logiciel de minage de cryptomonnaie XMRig”, note Microsoft.
Selon Crowdstrike, XorDDoS était l’une des familles de logiciels malveillants sous Linux les plus actives en 2021. Ces logiciels malveillants ont prospéré grâce à la croissance des appareils de l’Internet des objets, qui fonctionnent pour la plupart sous des variantes de Linux, mais ils ont également ciblé des clusters Docker mal configurés dans le cloud. Parmi les autres grandes familles de logiciels malveillants ciblant les objets connectés, citons Mirai et Mozi.
Microsoft n’a pas vu XorDdos installer et distribuer directement la porte dérobée Tsunami, mais ses chercheurs pensent que XorDdos est utilisé comme vecteur pour des activités malveillantes ultérieures.
XorDdos peut dissimuler ses activités aux techniques de détection courantes. Dans une campagne récente, Microsoft l’a vu écraser des fichiers sensibles.
“Ses capacités d’évasion comprennent la dissimulation des activités du malware, le contournement des mécanismes de détection basés sur des règles et des analyses de fichiers malveillants basées sur le hachage, ainsi que l’utilisation de techniques anti-forensiques pour contrer les analyses basées sur l’arbre des processus. Nous avons observé lors de campagnes récentes que XorDdos dissimule ses activités malveillantes en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux”, note Microsoft.
La charge utile XorDdos analysée par Microsoft est un fichier ELF 32 bits au format Linux avec un binaire modulaire écrit en C/C++. Microsoft note que XorDdos utilise un processus démon qui fonctionne en arrière-plan, hors du contrôle des utilisateurs, et se termine lorsque le système est arrêté.
Mais le malware peut se relancer automatiquement lorsque le système est redémarré grâce à plusieurs scripts et commandes qui le font s’exécuter automatiquement au démarrage du système.
XorDdoS peut réaliser plusieurs techniques d’attaque DDoS, notamment des attaques de type SYN flood, des attaques DNS et des attaques de type ACK flood.
Il collecte les caractéristiques d’un appareil infecté, notamment la version du système d’exploitation, la version du logiciel malveillant, la présence de rootkit, les statistiques de mémoire, les informations sur le processeur et la vitesse du réseau local, qui sont chiffrées puis envoyées au serveur de contrôle.
Source : “ZDNet.com”
