Rilevamento del Malware XorDdos: Microsoft Avverte di un Allarmante Aumento di Attacchi DDoS che Puntano a Linux

[post-views]
Maggio 24, 2022 · 4 min di lettura
Rilevamento del Malware XorDdos: Microsoft Avverte di un Allarmante Aumento di Attacchi DDoS che Puntano a Linux

A maggio 2022, i sistemi basati su Linux sono esposti a una serie di minacce provenienti da vettori di attacco multipli. All’inizio di questo mese, il impianto di sorveglianza BPFDoor ha fatto notizia compromettendo migliaia di dispositivi Linux. Un’altra minaccia che prende di mira i sistemi Linux è all’orizzonte. Microsoft ha osservato un’enorme impennata dell’attività dannosa dal Trojan XorDdos di Linux, che è quasi triplicata nell’ultimo semestre. Il famigerato malware DDoS ha ricevuto il suo nome a causa dell’attività furtiva che sfrutta attacchi di negazione del servizio su dispositivi Linux e l’uso dell’algoritmo di criptazione XOR per la comunicazione con il server C&C.

Rileva il Malware Linux XorDdos 

Per aiutare le organizzazioni a proteggere i loro ambienti basati su Linux contro l’attività dannosa di XorDdos, la piattaforma di SOC Prime cura un lotto di nuove regole Sigma create dai nostri prolifici sviluppatori del Threat Bounty Program, Onur Atali and Joseph Kamau:

Esecuzione Potenziale del Malware XorDdos (Maggio 2022) tramite Rilevazione di File Associati (via file_event)

Potenziale Rinominazione dell’Attività del Binario Wget Linux da parte del Malware XorDdos (via process_creation)

Entrambe le regole di rilevamento sono compatibili con le tecnologie leader di settore SIEM, EDR e XDR supportate dalla piattaforma SOC Prime e allineate con il framework MITRE ATT&CK®. La regola Sigma che rileva i potenziali attacchi indotti da XorDdos tramite file_event rivolge le tattiche di Esecuzione e Evasione della Difesa con le tecniche corrispondenti dell’Interprete di Comandi e Script (T1059) e dell’Iniezione di Processo (T1055), mentre l’elemento di contenuto basato su process_creation fonte di log rivolge la tecnica di Mascheramento (T1036) correlata all’arsenale tattico di Evasione della Difesa. 

Clicca il Visualizza Rilevamenti pulsante per accedere all’intera collezione di algoritmi di rilevamento curati e arricchiti nel contesto, su misura per gli ambienti di sicurezza unici e i profili di minaccia specifici dell’organizzazione. Cerchi modi per dare il tuo contributo alla difesa informatica collaborativa? Unisciti al nostro Threat Bounty Program per creare rilevamenti e monetizzare il tuo contributo.

Visualizza Rilevamenti Unisciti al Threat Bounty

Analisi del Linux XorDdos 

Il malware DDoS XorDdos è stato sotto i riflettori nell’arena delle minacce informatiche dal 2014. Secondo l’ultimo ricerca di Microsoft, il malware ha recentemente visto una tendenza in rapida crescita nel colpire sistemi operativi Linux che sono normalmente distribuiti nel cloud e su infrastrutture IoT. XorDdos ammette botnet per eseguire attacchi DDoS che possono abusare massivamente di migliaia di server, come nel caso del famigerato sfruttamento del server memcached.

Un altro vettore di attacco che coinvolge il Trojan XorDdos include attacchi SSH brute force. In questo caso, XorDdos utilizza privilegi di root per ottenere il controllo remoto dopo aver identificato le credenziali SSH, quindi lancia uno script dannoso che installa ulteriormente il campione di malware sul dispositivo compromesso. 

L’attività di XorDdos è considerata furtiva e difficile da rilevare a causa della sua persistenza e della capacità di eludere la scansione anti-malware. Ulteriori dettagli su XorDdos includono il suo ruolo nel innescare la catena di infezione finalizzata a distribuire altri ceppi di malware, come il backdoor Tsunami, che viene utilizzato per scaricare XMRig cryptominer sul sistema bersaglio e propagare ulteriormente l’infezione.

Microsoft suggerisce una serie di mitigazioni per aiutare i team a proteggere i loro ambienti basati su Linux contro potenziali attacchi DDoS, come abilitare la protezione erogata dal cloud e di rete, utilizzare la scoperta dei dispositivi e configurare procedure di rimedio e indagine automatizzate per combattere la fatica da avviso. 

Con minacce che avanzano continuamente e volumi di attacco in crescita, ci sono esigenze crescenti per soluzioni universali di cybersecurity che possono essere applicate su più dispositivi indipendentemente dal sistema operativo in uso. Unirsi al SOC Prime’s Detection as Code platform permette alle organizzazioni di rafforzare le loro capacità di difesa informatica offrendo una vasta raccolta di algoritmi di rilevamento su misura per oltre 25 tecnologie SIEM, EDR e XDR e coprendo un’ampia gamma di fonti di log specifiche per le organizzazioni.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards
Tutte le notizie