Seguir 
Em maio de 2022, sistemas baseados em Linux estão sendo expostos a uma série de ameaças provenientes de múltiplos vetores de ataque. No início deste mês, o implante de vigilância BPFDoor foi destaque, comprometendo milhares de dispositivos Linux. Outra ameaça que visa sistemas Linux está surgindo no horizonte. A Microsoft observou um enorme aumento de atividade maliciosa do Trojan Linux XorDdos, que quase triplicou nos últimos seis meses. O infame malware DDoS recebeu seu nome devido à atividade furtiva que aproveita ataques de negação de serviço em dispositivos Linux e ao uso do algoritmo de criptografia XOR para comunicação com o servidor C&C.
Detectar Malware Linux XorDdos
Para ajudar as organizações a protegerem seus ambientes baseados em Linux contra a atividade maliciosa de XorDdos, a plataforma da SOC Prime organiza um lote de novas regras Sigma desenvolvidas por nossos prolíficos desenvolvedores do Programa Threat Bounty, Onur Atali and Joseph Kamau:
Ambas as regras de detecção são compatíveis com as tecnologias SIEM, EDR e XDR líderes do setor, suportadas pela plataforma da SOC Prime e alinhadas com o framework MITRE ATT&CK®. A regra Sigma que detecta os possíveis ataques induzidos por XorDdos via file_event aborda as táticas de Execução e Engano de Defesa com as correspondentes técnicas Command and Scripting Interpreter (T1059) e Process Injection (T1055), enquanto o item de conteúdo baseado na process_creation fonte de log aborda a técnica de Masquerading (T1036) relacionada ao arsenal de táticas de Engano de Defesa.
Clique no Visualizar Detecções botão para acessar a coleção completa de algoritmos de detecção curados e enriquecidos contextualmente, adaptados aos ambientes de segurança únicos e aos perfis específicos de ameaças das organizações. Procurando maneiras de fazer sua própria contribuição para a defesa cibernética colaborativa? Junte-se ao nosso Programa Threat Bounty para criar detecções e monetizar sua contribuição.
Visualizar Detecções Participar do Threat Bounty
Análise do Linux XorDdos
O malware DDoS XorDdos tem estado em destaque no cenário de ameaças cibernéticas desde 2014. De acordo com a última pesquisa da Microsoft, o malware recentemente apresentou uma tendência de rápido crescimento visando o SO Linux que normalmente é implantado na nuvem e em infraestruturas de IoT. O XorDdos reúne botnets para realizar ataques DDoS que podem abusar massivamente de milhares de servidores, como no caso da infame exploração do servidor memcached.
Outro vetor de ataque envolvendo o Trojan XorDdos inclui ataques de força bruta SSH. Nesse caso, o XorDdos usa privilégios de root para obter controle remoto após identificar credenciais SSH, então lança um script malicioso que instala ainda mais a amostra de malware no dispositivo comprometido.
A atividade XorDdos é considerada furtiva e difícil de detectar devido à sua persistência e capacidade de evadir a varredura anti-malware. Outros detalhes do XorDdos incluem seu papel em acionar a cadeia de infecção destinada a entregar outras cepas de malware, como o backdoor Tsunami, que é usado para lançar o criptominer XMRig no sistema alvo e espalhar ainda mais a infecção.
A Microsoft sugere um conjunto de mitigações para ajudar as equipes a protegerem seus ambientes baseados em Linux contra possíveis ataques DDoS, como ativar a proteção em nuvem e de rede, usar a descoberta de dispositivos e configurar procedimentos automatizados de remediação e investigação para combater a fadiga de alertas.
Com ameaças em constante avanço e volumes de ataques crescentes, há uma demanda crescente por soluções de cibersegurança universais que possam ser aplicadas em múltiplos dispositivos, independentemente do SO em uso. Ao aderir à plataforma Detecção como Código da SOC Prime as organizações podem reforçar suas capacidades de defesa cibernética oferecendo uma extensa coleção de algoritmos de detecção adaptados a 25+ tecnologias SIEM, EDR e XDR, cobrindo uma ampla gama de fontes de log específicas de organizações.
