XorDdosマルウェア検出：MicrosoftがLinuxを標的としたDDoS攻撃の急増を警告

2022年5月、Linuxベースのシステムは複数の攻撃ベクターからの多くの脅威にさらされています。今月初め、 BPFDoor監視インプラント が数千のLinuxデバイスを危険にさらしたことで注目を集めました。Linuxシステムを対象とする別の脅威も間近に迫っています。Microsoftは、Linux XorDdosトロイの木馬からの悪意ある活動がここ半年でほぼ3倍に急増していることを観察しました。この悪名高いDDoSマルウェアは、Linuxデバイスに対するサービス妨害攻撃を活用し、C&Cサーバーとの通信にXOR暗号化アルゴリズムを使用するというステルス活動のためにその名を得ています。

Linux XorDdosマルウェアの検出 

組織が悪意あるXorDdos活動からLinuxベースの環境を保護するのに役立てるため、SOC Primeのプラットフォームは、活発なThreat Bounty Programの開発者によって作成された新しいSigmaルールのバッチをキュレートします。 Onur Atali and Joseph Kamau:

関連ファイルの検出によるXorDdosマルウェア（2022年5月）の実行可能性（ファイルイベント経由）

Wget Linuxバイナリの操作を通じたXorDdosマルウェアのリネーム活動の可能性（プロセス作成経由）

両方の検出ルールは、業界をリードするSIEM、EDR、およびXDR技術と互換性があり、SOC PrimeのプラットフォームとMITRE ATT&CK®フレームワークに一致しています。Sigmaルールは、 ファイルイベント を介して潜在的なXorDdos攻撃を検出し、実行および防御回避戦術に対処し、対応するコマンドおよびスクリプトインタープリター（T1059）とプロセスインジェクション（T1055）技術を使用します。一方、 プロセス作成 ログソースに基づくコンテンツ項目は、防御回避戦術に関連するマスカレーディング（T1036）技術に対処します。

クリックして 検出を表示 ボタンを押すと、キュレートされた文脈豊富な検出アルゴリズムの完全なコレクションにアクセスでき、ユニークなセキュリティ環境および組織特有の脅威プロファイルに適した食アルゴリズムのコンテンツを確認できます。共同でサイバー防御に貢献する方法を模索している場合、Threat Bounty Programに参加して検出を作成し、あなたの貢献を収益化しましょう。

検出を表示 Threat Bountyに参加する

Linux XorDdos分析 

XorDdos DDoSマルウェアは2014年からサイバー脅威アリーナで注目されています。最新の Microsoftの研究によると、このマルウェアは通常クラウドとIoTインフラストラクチャに展開されるLinux OSを目標とする急成長傾向を最近示しています。XorDdosはボットネットを募集し、数千のサーバーを大規模に悪用できるDDoS攻撃を実行します。不名誉な Memcachedサーバーの悪用のように。.

XorDdosトロイの木馬を含む別の攻撃ベクターには、SSHブルートフォース攻撃があります。この場合、XorDdosはSSH資格情報を特定した後、ルート権限を使用してリモート制御を取得し、マルウェアサンプルを侵害されたデバイスにさらにインストールする悪意あるスクリプトを開始します。

XorDdosの活動は、その持続性とマルウェアスキャンを回避する能力のため、ステルス性が高く検出が難しいと見なされています。追加のXorDdosの詳細には、Tsunamiバックドアのように、他のマルウェア株を配信し、標的システム上で XMRigクリプトマイナー をドロップし、感染を広げるための感染チェーンを開始する役割があります。

Microsoftは、潜在的なDDoS攻撃から自分たちのLinuxベース環境を守るための一連の緩和策を提案しています。これには、クラウド配信およびネットワーク保護の有効化、デバイス探索の使用、 アラート疲れを回避するための自動化された修復および調査手順 の構成が含まれます。

進化し続ける脅威と増加する攻撃量に伴い、使用されるOSにかかわらず複数のデバイスに適用可能な普遍的なサイバーセキュリティソリューションへの需要が増加しています。 SOC PrimeのDetection as Codeプラットフォーム に参加することで、25以上のSIEM、EDR、およびXDR技術に合わせた広範囲の検出アルゴリズムのコレクションを提供し、組織固有のログソースをカバーすることで、サイバー防御能力を強化できます。