Ces derniers mois, Microsoft a constaté une augmentation de 254 % de l’activité de Xor DDoS, un réseau de machines Linux infectées vieux d’environ huit ans. Ce dernier, comme son nom l’indique, est utilisé pour mener des attaques par déni de service distribué (DDoS).
Xor DDoS mène des attaques automatisées de bourrage de mots de passe sur des milliers de serveurs Linux afin de trouver les mots de passe d’administration utilisés sur les serveurs Secure Shell (SSH). SSH est un protocole de communication réseau sécurisé couramment utilisé pour l’administration de systèmes à distance.
Une fois les identifiants obtenus, le botnet utilise les privilèges de l’administrateur (root) pour s’installer sur un appareil Linux et utilise le chiffrement XOR pour communiquer avec l’infrastructure de commande et de contrôle de l’attaquant.
Un malware très actif sous Linux
Si les attaques DDoS constituent une menace sérieuse pour la disponibilité des systèmes et prennent de l’ampleur chaque année, Microsoft s’inquiète des autres capacités de ces réseaux d’ordinateurs infectés.
« Nous avons constaté que les appareils d’abord infectés par Xor DDoS étaient ensuite infectés par d’autres logiciels malveillants comme la backdoor Tsunami, qui déploie en outre le logiciel de minage de cryptomonnaies XMRig », note le géant du logiciel.
Selon Crowdstrike, Xor DDoS était l’une des familles de malwares les plus actives sous Linux en 2021. Ces logiciels malveillants ont prospéré grâce à la croissance des appareils IoT (internet des objets), qui fonctionnent pour la plupart sous des variantes de Linux. Mais ils ont également ciblé des clusters Docker mal configurés dans le cloud. Parmi les autres grandes familles de logiciels malveillants ciblant les objets connectés, on peut citer Mirai et Mozi.
Le malware pourrait être utilisé pour des activités malveillantes ultérieures
Microsoft n’a pas vu Xor DDoS installer et distribuer directement la porte dérobée Tsunami, mais ses chercheurs pensent que le malware est utilisé comme vecteur pour des activités malveillantes ultérieures.
XorDdos peut dissimuler ses activités aux techniques de détection courantes. Dans une campagne récente, Microsoft l’a vu écraser des fichiers sensibles.
« Ses capacités d’évasion comprennent la dissimulation des activités du malware, le contournement des mécanismes de détection basés sur des règles et des analyses de fichiers malveillants basées sur le hachage, ainsi que l’utilisation de techniques anti-forensiques pour contrer les analyses basées sur l’arbre des processus. Nous avons observé lors de campagnes récentes que Xor DDoS dissimule ses activités malveillantes en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux », détaille Microsoft.
Xor DDoS fonctionne en arrière-plan
La charge utile Xor DDoS analysée par Microsoft est un fichier ELF 32 bits au format Linux, avec un binaire modulaire écrit en C/C++. Microsoft note qu’il utilise un processus démon qui fonctionne en arrière-plan, hors du contrôle des utilisateurs, et se termine lorsque le système est arrêté.
Mais le malware peut se relancer automatiquement lorsque le système est redémarré, grâce à plusieurs scripts et commandes qui le font s’exécuter automatiquement au démarrage du système.
Xor DDoS peut réaliser plusieurs techniques d’attaque DDoS, notamment des attaques de type SYN flood, des attaques DNS et des attaques de type ACK flood.
Il collecte les caractéristiques d’un appareil infecté, notamment la version du système d’exploitation, la version du logiciel malveillant, la présence de rootkit, les statistiques de mémoire, les informations sur le processeur et la vitesse du réseau local, qui sont chiffrées puis envoyées au serveur de contrôle.
Source« : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));