XorDdos 멀웨어 감지: Microsoft, 리눅스를 겨냥한 DDoS 공격의 충격적인 급증 경고

2022년 5월, 리눅스 기반 시스템은 여러 공격 벡터에서 발생하는 다양한 위협에 노출되고 있습니다. 이 달 초, BPFDoor 감시 임플란트가 수천 대의 리눅스 장치를 타겟으로 한 것으로 보도되었습니다. 또 다른 리눅스 시스템 타겟 위협이 수면 위로 떠오르고 있습니다. 마이크로소프트는 리눅스 XorDdos 트로이 목마의 악성 활동이 지난 반 년 간 거의 세 배 증가했음을 관찰했습니다. 악명 높은 DDoS 멀웨어는 리눅스 장치에서 서비스 거부 공격을 활용하는 숨겨진 활동과 C&C 서버 통신을 위한 XOR 암호화 알고리즘 사용으로 이름을 얻었습니다.

리눅스 XorDdos 멀웨어 탐지 

조직이 악성 XorDdos 활동으로부터 리눅스 기반 환경을 보호할 수 있도록 돕기 위해, SOC Prime의 플랫폼은 뛰어난 위협 현상금 프로그램 개발자가 제작한 새로운 Sigma 규칙 배치를 큐레이션합니다. Onur Atali and Joseph Kamau:

XorDdos 멀웨어 가능성 (2022년 5월) 연관 파일 탐지를 통한 실행 (file_event 사용)

XorDdos 멀웨어가 Wget 리눅스 바이너리 활동 이름 변경 가능성 (process_creation 사용)

두 탐지 규칙은 SOC Prime의 플랫폼이 지원하는 업계 선도 SIEM, EDR, 및 XDR 기술과 호환되며 MITRE ATT&CK® 프레임워크에 맞춰져 있습니다. XorDdos로 인한 잠재적 공격을 탐지하는 Sigma 규칙은 file_event 로그 소스는 명령 및 스크립트 인터프리터 (T1059) 및 프로세스 인젝션 (T1055) 기법과 관련하여 실행 및 방어 회피 전술을 다루고 있으며, process_creation 을 기반으로 한 콘텐츠 항목은 방어 회피 전술과 관련된 위장 (T1036) 기법을 다룹니다. 

다음을 클릭하여 탐지 보기 버튼을 눌러 고유한 보안 환경과 조직 특유의 위협 프로파일에 맞춰진 맥락이 풍부한 탐지 알고리즘 컬렉션 전체를 보십시오. 협력적 사이버 방어에 기여할 방법을 찾고 계십니까? 탐지 제작과 입력의 현금화를 위해 우리의 위협 현상금 프로그램에 참여하십시오.

탐지 보기 위협 현상금 참여

리눅스 XorDdos 분석 

XorDdos DDoS 멀웨어는 2014년부터 사이버 위협 분야에서 주목받고 있습니다. 최신 마이크로소프트 연구에 따르면, 멀웨어는 최근 클라우드와 IoT 인프라에서 배포되는 리눅스 OS를 타겟으로 하는 급속히 증가하는 추세를 보이고 있습니다. XorDdos는 봇넷을 모아 DDoS 공격을 수행하며, 이는 수천 개의 서버를 대량으로 남용할 수 있습니다. 이는 악명 높은 Memcached 서버 악용 사례와 유사합니다..

XorDdos 트로이 목마와 관련된 또 다른 공격 벡터에는 SSH 브루트 포스 공격이 포함됩니다. 이 경우, XorDdos는 루트 권한을 사용하여 SSH 자격 증명을 식별한 후 원격 제어를 획득한 뒤, 악성 스크립트를 실행하여 감염된 장치에 멀웨어 샘플을 추가로 설치합니다. 

XorDdos 활동은 지속성과 안티멀웨어 스캐닝 회피 능력으로 인해 탐지가 어렵고 은밀한 것으로 간주됩니다. 추가 XorDdos 세부 사항에는 Tsunami 백도어와 같은 다른 멀웨어 계열을 전달하기 위한 감염 체인 촉발 역할이 포함됩니다. 이 백도어는 대상 시스템에 XMRig 크립토마이너 를 설치하여 감염을 확산시킵니다.

마이크로소프트는 클라우드 제공 및 네트워크 보호 활성화, 디바이스 발견 사용, 및 구성된 자동화된 remediation 및 조사 절차 를 포함하여 잠재적 DDoS 공격을 방지하기 위해 팀을 보호하기 위한 일련의 완화 조치를 제안합니다. 

계속해서 발전하는 위협과 증가하는 공격량과 함께, 운영체제에 관계없이 여러 장치에 적용할 수 있는 범용 사이버보안 솔루션에 대한 요구가 증가하고 있습니다. SOC Prime의 Detection as Code 플랫폼 에 참여하면, 25개 이상의 SIEM, EDR, 및 XDR 기술에 맞춰진 탐지 알고리즘의 방대한 컬렉션을 제공하여 조직이 사이버 방어 능력을 강화할 수 있게 합니다. 다양한 조직별 로그 소스를 다룹니다.