Détection du Malware XorDdos : Microsoft Alerte sur une Augmentation Alarmante d’Attaques DDoS Ciblant Linux
Table des matières :
En mai 2022, les systèmes basés sur Linux sont exposés à un certain nombre de menaces provenant de multiples vecteurs d’attaque. Au début de ce mois, l’implant de surveillance BPFDoor a fait la une des journaux en compromettant des milliers de dispositifs Linux. Une autre menace ciblant les systèmes Linux se profile à l’horizon. Microsoft a observé une augmentation énorme de l’activité malveillante du cheval de Troie Linux XorDdos, qui a presque triplé au cours des six derniers mois. L’infâme malware DDoS a reçu son nom en raison de son activité furtive utilisant des attaques par déni de service sur des dispositifs Linux et de l’utilisation de l’algorithme de chiffrement XOR pour la communication avec le serveur C&C.
Détecter le malware Linux XorDdos
Pour aider les organisations à protéger leurs environnements basés sur Linux contre l’activité malveillante XorDdos, la plateforme de SOC Prime propose un ensemble de nouvelles règles Sigma élaborées par nos développeurs prolifiques du programme Threat Bounty, Onur Atali and Joseph Kamau:
Exécution possible de Malware XorDdos (mai 2022) par détection de fichiers associés (via file_event)
Renommer possible de l’activité binaire Wget Linux par XorDdos Malware (via process_creation)
Les deux règles de détection sont compatibles avec les technologies SIEM, EDR et XDR leaders du secteur prises en charge par la plateforme de SOC Prime et alignées sur le cadre MITRE ATT&CK®. La règle Sigma qui détecte les attaques potentielles induites par XorDdos via file_event cible les tactiques d’exécution et d’évasion de défense avec les techniques correspondantes Interpréteur de commandes et de scripts (T1059) et Injection de processus (T1055), tandis que l’élément de contenu basé sur le process_creation source du journal cible la technique de masquage (T1036) liée à l’arsenal tactique d’évasion de défense.
Cliquez sur le Voir les Détections bouton pour accéder à l’ensemble complet des algorithmes de détection enrichis en contexte et adaptés aux environnements de sécurité uniques et aux profils de menaces spécifiques à l’organisation. Vous cherchez des moyens de contribuer à la défense cybernétique collaborative ? Rejoignez notre programme Threat Bounty pour créer des détections et monétiser votre contribution.
Voir les Détections Rejoindre Threat Bounty
Analyse de Linux XorDdos
Le malware XorDdos DDoS est sous les feux des projecteurs dans l’arène des menaces cybernétiques depuis 2014. Selon les dernières recherches de Microsoft, le malware a récemment connu une tendance à la hausse rapide ciblant le système d’exploitation Linux qui est normalement déployé dans le cloud et sur les infrastructures IoT. XorDdos amasse des botnets pour mener des attaques DDoS qui peuvent abuser massivement de milliers de serveurs, comme dans le cas de la célèbre exploitation du serveur memcached.
Un autre vecteur d’attaque impliquant le cheval de Troie XorDdos comprend les attaques par force brute SSH. Dans ce cas, XorDdos utilise des privilèges root pour prendre le contrôle à distance après avoir identifié les identifiants SSH, puis lance un script malveillant qui installe ensuite un échantillon de malware sur le dispositif compromis.
L’activité XorDdos est considérée comme furtive et difficile à détecter en raison de sa persistance et de sa capacité à échapper aux analyses anti-malware. D’autres détails sur XorDdos incluent son rôle dans le déclenchement de la chaîne d’infection visant à livrer d’autres souches de malware, telles que la porte dérobée Tsunami, utilisée pour déposer le cryptomineur XMRig sur le système ciblé et propager l’infection davantage.
Microsoft propose un ensemble d’atténuations pour aider les équipes à protéger leurs environnements basés sur Linux contre les attaques DDoS potentielles, telles que l’activation de la protection réseau et basée sur le cloud, l’utilisation de la découverte de dispositifs, et la configuration de procédures automatisées d’enquête et de remédiation pour combattre la fatigue due aux alertes.
Avec des menaces en constante évolution et des volumes d’attaque en croissance, il y a des demandes croissantes pour des solutions de cybersécurité universelles qui peuvent être appliquées à travers plusieurs dispositifs, quel que soit le système d’exploitation utilisé. Rejoindre la plateforme Detection as Code de SOC Prime permet aux organisations de renforcer leurs capacités de défense cybernétique en offrant une vaste collection d’algorithmes de détection adaptés à plus de 25 technologies SIEM, EDR et XDR et couvrant une large gamme de sources de journal spécifiques aux organisations.
