XorDdos-Malware-Erkennung: Microsoft warnt vor einem alarmierenden Anstieg der DDoS-Angriffe auf Linux

[post-views]
Mai 24, 2022 · 4 min zu lesen
XorDdos-Malware-Erkennung: Microsoft warnt vor einem alarmierenden Anstieg der DDoS-Angriffe auf Linux

Im Mai 2022 werden Linux-basierte Systeme einer Reihe von Bedrohungen aus mehreren Angriffsvektoren ausgesetzt. Anfang dieses Monats hat der Überwachungsimplantat BPFDoor die Schlagzeilen gemacht und Tausende von Linux-Geräten kompromittiert. Eine weitere Bedrohung für Linux-Systeme zeichnet sich am Horizont ab. Microsoft hat einen enormen Anstieg der bösartigen Aktivitäten des Linux XorDdos Trojaners beobachtet, die sich in den letzten sechs Monaten fast verdreifacht haben. Die berüchtigte DDoS-Malware hat ihren Namen aufgrund der heimlichen Aktivitäten, die Denial-of-Service-Angriffe auf Linux-Geräte ausnutzen, und der Verwendung des XOR-Verschlüsselungsalgorithmus für die Kommunikation mit C&C-Servern erhalten.

Erkennung von Linux XorDdos Malware 

Um Organisationen dabei zu helfen, ihre Linux-basierten Umgebungen vor der bösartigen XorDdos-Aktivität zu schützen, kuratiert die Plattform von SOC Prime eine Reihe neuer Sigma-Regeln, die von unseren produktiven Entwicklern des Threat Bounty Program erstellt wurden, Onur Atali and Joseph Kamau:

Mögliche XorDdos Malware (Mai 2022) Ausführung durch Erkennung von zugehörigen Dateien (über file_event)

Mögliche XorDdos Malware umbenennen Wget Linux Binary Aktivität (über process_creation)

Beide Erkennungsregeln sind kompatibel mit den führenden SIEM-, EDR- und XDR-Technologien, die von der SOC Prime Plattform unterstützt werden und im Einklang mit dem MITRE ATT&CK®-Rahmenwerk stehen. Die Sigma-Regel, die die potenziellen XorDdos-induzierten Angriffe über file_event erkennt, adressiert die Taktiken Ausführung und Verteidigungseinweichung mit den entsprechenden Techniken Command and Scripting Interpreter (T1059) und Process Injection (T1055), während der Inhaltsartikel basierend auf der process_creation Protokollquelle die Technik Maskierung (T1036) in Bezug auf das Taktikarsenal der Verteidigungseinweichung anspricht. 

Klicken Sie auf die Erkennungen anzeigen Schaltfläche, um die gesamte Sammlung kuratierter, kontextuell angereicherter Erkennungsalgorithmen zu erreichen, die auf die einzigartigen Sicherheitsumgebungen und organisationsspezifischen Bedrohungsprofile abgestimmt sind. Suchen Sie nach Möglichkeiten, Ihren eigenen Beitrag zur kollaborativen Cyberverteidigung zu leisten? Treten Sie unserem Threat Bounty Program bei, um Erkennungen zu erstellen und Ihren Beitrag zu monetarisieren.

Erkennungen anzeigen Threat Bounty beitreten

Analyse von Linux XorDdos 

XorDdos DDoS-Malware steht seit 2014 im Mittelpunkt der Cyber-Bedrohungsarena. Laut den neuesten Forschungen von Microsofthat die Malware kürzlich einen rasch zunehmenden Trend gezeigt, der sich gegen Linux-OS richtet, die normalerweise in der Cloud und auf IoT-Infrastrukturen eingesetzt werden. XorDdos baut Botnetze auf, um DDoS-Angriffe durchzuführen, die Tausende von Servern stark missbrauchen können, wie im Fall der berüchtigten Memcached-Server-Ausnutzung.

Ein weiterer Angriffsvektor, der den XorDdos-Trojaner betrifft, umfasst SSH-Brute-Force-Angriffe. In diesem Fall nutzt XorDdos Root-Berechtigungen, um die Remote-Steuerung zu erlangen, nachdem SSH-Anmeldeinformationen identifiziert wurden, und startet dann ein bösartiges Skript, das die Malware-Probe weiter auf dem kompromittierten Gerät installiert. 

XorDdos-Aktivitäten gelten aufgrund ihrer Persistenz und der Fähigkeit zur Umgehung von Anti-Malware-Scans als heimlich und schwer zu erkennen. Weitere XorDdos-Details umfassen seine Rolle bei der Auslösung der Infektionskette, die darauf abzielt, andere Malware-Stämme wie die Tsunami-Hintertür zu liefern, welche dazu verwendet wird, XMRig-Kryptominer auf dem angegriffenen System abzulegen und die Infektion weiter zu verbreiten.

Microsoft schlägt eine Reihe von Maßnahmen vor, um Teams dabei zu helfen, ihre Linux-basierten Umgebungen gegen potenzielle DDoS-Angriffe zu schützen, wie z.B. die Aktivierung von cloud-gelieferter und Netzwerk-Schutz, die Nutzung von Geräte-Entdeckung und die Konfiguration von automatisierten Gegenmaßnahmen und Untersuchungsverfahren , um Alarm-Müdigkeit zu bekämpfen. 

Mit kontinuierlich fortschreitenden Bedrohungen und zunehmendem Angriffsvolumen besteht eine steigende Nachfrage nach universellen Cybersicherheitslösungen, die unabhängig vom verwendeten OS auf mehrere Geräte angewendet werden können. Der Beitritt zu SOC Primes Detection as Code Plattform ermöglicht es Organisationen, ihre Cyberverteidigungsfähigkeiten zu stärken, indem sie eine umfangreiche Sammlung von Erkennungsalgorithmen bietet, die auf 25+ SIEM-, EDR- und XDR-Technologien zugeschnitten sind und eine breite Palette von organisationsspezifischen Protokollquellen abdecken.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards
Alle Nachrichten