Microsoft检测到LinuxXorDDoS恶意软件活动激增该恶意软件自2014年起活跃,也称为XorDDoS或XORDDoS,因为它在与命令和控制(C2)服务器通信时使用基于XOR的加密,并用于启动分布式拒绝攻击服务(DDoS)攻击。正如该公司透露的那样,僵尸网络的成功可能归功于其广泛使用各种规避和持久策略,使其能够保持隐秘状态并且难以清除。据Microsoft365Defender研究团队称,其规避功能包括混淆恶意软件的活动、规避基于规则的检测机制和基于哈希的恶意文件查找,以及使用反取证技术来破坏基于进程树的分析。“我们在最近的活动中观察到,XorDdos通过用空字节覆盖敏感文件来隐藏恶意活动以防止分析。”XorDDoS以从ARM(物联网)到x64(服务器)的多种Linux系统架构为目标,并在SSH暴力攻击中破坏易受攻击的架构而闻名。为了传播到更多设备,它使用一个shell脚本,该脚本将尝试使用各种密码以root身份登录数千个暴露于Internet的系统,直到最终找到匹配项。除了发起DDoS攻击外,恶意软件运营商还使用XorDDoS僵尸网络安装Rootkit,保持对受感染设备的访问,并可能投放其他恶意负载。微软补充说:“我们发现首先感染XorDdos的设备后来感染了其他恶意软件,例如Tsunami后门,进一步部署了XMRig硬币矿工。虽然我们没有观察到XorDdos像TsunamiSecondarypayloads一样直接安装和分发机器人,但特洛伊木马很可能被用作后续活动的载体。”自去年12月以来,微软检测到的XorDDoS活动大幅增加与网络安全公司CrowdStrike的一份报告一致,该报告称Linux恶意软件在2021年比上一年增加了35%。XorDDoS、Mirai和Mozi是最流行的攻击类型,占2021年所有观察到的针对Linux设备的恶意软件攻击的22%。CrowdStrike表示,在这三者中,XorDDoS同比增长了123%,而Mozi的活动呈爆炸式增长,增长了10倍去年在野外检测到的样本数量。根据Intezer2021年2月的一份报告,2020年Linux恶意软件类型的数量与2019年相比增加了约40%。参考来源:https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-在-linux-xorddos-malware-activity/
