Botnet bedroht Linux-Server

Microsoft hat in den letzten Monaten einen Anstieg der Aktivitäten von XorDDoS um 254 % festgestellt. XorDDoS ist ein etwa acht Jahre altes Netzwerk aus infizierten Linux-Rechnern, das für Distributed-Denial-of-Service-Angriffe (DDoS) genutzt wird.

XorDdos führt auf Tausenden von Linux-Servern automatisierte Angriffe zum Ausprobieren von Passwörtern durch, um übereinstimmende Administrator-Anmeldedaten für Secure Shell (SSH)-Server zu finden. SSH ist ein sicheres Netzwerkkommunikationsprotokoll, das häufig für die Remote-Systemadministration verwendet wird.

Sobald die Zugangsdaten vorliegen, installiert sich das Botnet mit Root-Rechten auf einem Linux-Gerät und kommuniziert über XOR-basierte Verschlüsselung mit der Befehls- und Kontrollinfrastruktur des Angreifers.

Während DDoS-Angriffe eine ernsthafte Bedrohung für die Systemverfügbarkeit darstellen und jedes Jahr an Umfang zunehmen, ist Microsoft über andere Fähigkeiten dieser Botnets besorgt.

„Wir haben festgestellt, dass Geräte, die zunächst mit XorDdos infiziert wurden, später mit zusätzlicher Malware wie der Tsunami-Backdoor infiziert wurden, die wiederum den XMRig-Münzschürfer einsetzt“, schreibt Microsoft.

XorDDoS war laut Crowdstrike eine der aktivsten Linux-basierten Malware-Familien des Jahres 2021. Die Malware profitiert vom Wachstum der Internet-of-Things (IoT)-Geräte, die meist auf Linux-Varianten laufen, hat es aber auch auf falsch konfigurierte Docker-Cluster in der Cloud abgesehen. Andere führende Malware-Familien, die auf IoT-Geräte abzielen, sind Mirai und Mozi.

Microsoft hat nicht gesehen, dass XorDdos die Tsunami-Backdoor direkt installiert und verbreitet, aber seine Forscher gehen davon aus, dass XorDdos als Vektor für nachfolgende bösartige Aktivitäten verwendet wird.

XorDdos kann seine Aktivitäten vor gängigen Erkennungstechniken verbergen. In einer kürzlich durchgeführten Kampagne konnte Microsoft beobachten, wie es sensible Dateien mit einem Null-Byte überschrieb.

„Zu seinen Umgehungsmöglichkeiten gehören die Verschleierung der Malware-Aktivitäten, die Umgehung von regelbasierten Erkennungsmechanismen und die Suche nach bösartigen Dateien auf Hash-Basis sowie die Verwendung von Anti-Forensik-Techniken, um die prozessbaumbasierte Analyse zu umgehen. Wir haben in jüngsten Kampagnen beobachtet, dass XorDdos bösartige Aktivitäten vor der Analyse verbirgt, indem es sensible Dateien mit einem Null-Byte überschreibt. Außerdem enthält er verschiedene Persistenzmechanismen zur Unterstützung verschiedener Linux-Distributionen“, so Microsoft.

Bei der von Microsoft analysierten XorDdos-Nutzlast handelt es sich um eine ELF-Datei im 32-Bit-Linux-Format mit einer modularen, in C/C++ geschriebenen Binärdatei. Microsoft weist darauf hin, dass XorDdos einen Daemon-Prozess verwendet, der im Hintergrund und außerhalb der Kontrolle der Benutzer läuft und beim Herunterfahren des Systems beendet wird.

Dank mehrerer Skripte und Befehle, die dafür sorgen, dass die Malware beim Hochfahren eines Systems automatisch ausgeführt wird, kann sie jedoch automatisch neu gestartet werden, wenn das System neu gestartet wird.

XorDdoS kann mehrere DDoS-Angriffstechniken ausführen, darunter SYN-Flood-Angriffe, DNS-Angriffe und ACK-Flood-Angriffe.

Es sammelt Merkmale über ein infiziertes Gerät, einschließlich der magischen Zeichenfolge, der Betriebssystemversion, der Malware-Version, des Vorhandenseins von Rootkits, der Speicherstatistik, der CPU-Informationen und der LAN-Geschwindigkeit, die verschlüsselt an den C2-Server gesendet werden.