Detección de Malware XorDdos: Microsoft Advierte sobre un Aumento Alarmante de Ataques DDoS Dirigidos a Linux
Tabla de contenidos:
En mayo de 2022, los sistemas basados en Linux están siendo expuestos a una serie de amenazas que provienen de múltiples vectores de ataque. A principios de este mes, el implante de vigilancia BPFDoor acaparó los titulares comprometiendo miles de dispositivos Linux. Otra amenaza que apunta a los sistemas Linux se cierne en el horizonte. Microsoft ha observado un enorme aumento de actividad maliciosa del troyano Linux XorDdos, que casi se ha triplicado en el último medio año. El infame malware DDoS ha recibido su nombre debido a la actividad sigilosa que aprovecha los ataques de denegación de servicio en dispositivos Linux y el uso del algoritmo de cifrado XOR para la comunicación con el servidor C&C.
Detectar el Malware Linux XorDdos
Para ayudar a las organizaciones a proteger sus entornos basados en Linux contra la actividad maliciosa de XorDdos, la plataforma de SOC Prime selecciona un lote de nuevas reglas Sigma creadas por nuestros prolíficos desarrolladores del Programa de Recompensas de Amenazas, Onur Atali and Joseph Kamau:
Posible Actividad de Renombrado del Binario Wget de Malware XordDos en Linux (vía process_creation)
Ambas reglas de detección son compatibles con las tecnologías SIEM, EDR y XDR líderes de la industria admitidas por la plataforma SOC Prime y alineadas con el marco MITRE ATT&CK®. La regla Sigma que detecta los posibles ataques inducidos por XorDdos a través de file_event aborda las tácticas de Ejecución y Evasión de Defensa con las correspondientes técnicas de Comando e Intérprete de Scripts (T1059) e Inyección de Procesos (T1055), mientras que el contenido basado en la fuente de registro process_creation aborda la técnica de Suplantación (T1036) relacionada con el arsenal de tácticas de Evasión de Defensa.
Haga clic en el Ver Detecciones botón para acceder a toda la colección de algoritmos de detección enriquecidos con contexto, adaptados a los entornos de seguridad únicos y los perfiles de amenaza específicos de la organización. ¿Busca formas de hacer su propia contribución a la defensa cibernética colaborativa? Únase a nuestro Programa de Recompensas de Amenazas para crear detecciones y monetizar su aporte.
Ver Detecciones Únase al Programa de Recompensas de Amenazas
Análisis de Linux XorDdos
El malware DDoS XorDdos ha estado en el centro de atención en el ámbito de las amenazas cibernéticas desde 2014. Según la última investigación de Microsoft, el malware ha visto recientemente una tendencia de rápido crecimiento al apuntar a sistemas operativos Linux que normalmente se implementan en la nube y en infraestructuras IoT. XorDdos acumula botnets para llevar a cabo ataques DDoS que pueden abusar masivamente de miles de servidores, como en el caso de la infame explotación de servidores memcached.
Otro vector de ataque que involucra el troyano XorDdos incluye ataques de fuerza bruta SSH. En este caso, XorDdos utiliza privilegios root para obtener control remoto después de identificar las credenciales SSH, luego lanza un script malicioso que instala aún más la muestra de malware en el dispositivo comprometido.
La actividad de XorDdos se considera sigilosa y difícil de detectar debido a su persistencia y la capacidad de evadir el escaneo anti-malware. Más detalles sobre XorDdos incluyen su papel en desencadenar la cadena de infección destinada a entregar otras cepas de malware, como la puerta trasera Tsunami, que se utiliza para desplegar XMRig criptominero en el sistema objetivo y propagar la infección aún más.
Microsoft sugiere un conjunto de mitigaciones para ayudar a los equipos a proteger sus entornos basados en Linux contra posibles ataques DDoS, como habilitar protección en la nube y de red, usar el descubrimiento de dispositivos y configurar procedimientos de remediación e investigación automatizados para combatir la fatiga de alertas.
Con amenazas en continuo avance y crecientes volúmenes de ataques, hay una demanda creciente de soluciones de ciberseguridad universales que se puedan aplicar en múltiples dispositivos independientemente del sistema operativo en uso. Unirse a la plataforma de Detección como Código de SOC Prime permite a las organizaciones fortalecer sus capacidades de defensa cibernética ofreciendo una extensa colección de algoritmos de detección adaptados a más de 25 tecnologías SIEM, EDR y XDR, y cubriendo una amplia gama de fuentes de registros específicas de las organizaciones.
