Selama beberapa bulan terakhir, Microsoft telah melihat peningkatan 254 persen dalam aktivitas di XorDDoS, jaringan berusia sekitar delapan tahun dari mesin Linux yang disusupi yang digunakan dalam serangan penolakan layanan (DDoS) terdistribusi.
XorDdos melakukan serangan menebak kata sandi otomatis pada ribuan server Linux untuk menemukan kredensial administrator yang cocok yang digunakan pada server Secure Shell (SSH). SSH adalah protokol komunikasi jaringan aman yang biasa digunakan untuk administrasi sistem jarak jauh.
Setelah kredensial diperoleh, botnet menginstal dirinya sendiri pada perangkat Linux dengan hak akses root dan berkomunikasi dengan infrastruktur perintah dan kontrol penyerang menggunakan enkripsi berbasis XOR.
Lihat: Microsoft memperingatkan: Botnet ini memiliki trik baru untuk Linux dan Windows
Sementara serangan DDoS menimbulkan ancaman serius terhadap ketersediaan sistem dan bertambah besar setiap tahun, Microsoft mengkhawatirkan kemampuan lain dari botnet ini.
“Kami menemukan bahwa perangkat yang pertama kali terinfeksi XorDdos kemudian terinfeksi malware lain, seperti pintu belakang Tsunami, yang selanjutnya menyebarkan penambang koin XMRig,” Catatan Microsoft.
Menurut Crowdstrike, XorDDoS adalah salah satu keluarga malware berbasis Linux paling aktif pada tahun 2021. Malware ini berkembang pesat seiring dengan pertumbuhan perangkat Internet of Things (IoT), yang sebagian besar berjalan pada varian Linux, tetapi juga menargetkan cluster Docker yang salah konfigurasi di cloud. Keluarga malware teratas lainnya yang menargetkan perangkat IoT termasuk Mirai dan Mozi.
Microsoft belum pernah melihat XorDdos menginstal dan mendistribusikan backdoor Tsunami secara langsung, tetapi para peneliti percaya bahwa XorDdos digunakan sebagai vektor untuk aktivitas jahat berikutnya.
XorDdos dapat menyembunyikan aktivitasnya dalam teknik deteksi umum. Pada acara baru-baru ini, Microsoft melihatnya menimpa file sensitif dengan byte nol.
“Kemampuan penghindarannya termasuk mengaburkan aktivitas malware, menghindari mekanisme deteksi berbasis aturan dan pencarian file berbahaya berbasis hash, dan menggunakan teknik anti-forensik untuk menumbangkan analisis berbasis pohon proses. Kami mengamati XorDdos bersembunyi di kampanye baru-baru ini Aktivitas berbahaya dianalisis dengan menimpa file sensitif dengan byte nol. Ini juga mencakup berbagai mekanisme persistensi untuk mendukung distribusi Linux yang berbeda,” catat Microsoft.
Payload XorDdos yang dianalisis oleh Microsoft adalah file ELF berformat Linux 32-bit yang berisi biner modular yang ditulis dalam C/C++. Microsoft menunjukkan bahwa XorDdos menggunakan proses daemon yang berjalan di latar belakang, tidak di bawah kendali pengguna, dan berhenti ketika sistem dimatikan.
Lihat: Apakah tepat waktu?Atasan akhirnya sadar akan ancaman keamanan siber
Tetapi malware dapat secara otomatis restart ketika sistem reboot, berkat beberapa skrip dan perintah yang menyebabkannya berjalan secara otomatis saat startup sistem.
XorDdoS dapat melakukan berbagai teknik serangan DDoS, termasuk serangan SYN Flood, serangan DNS, dan serangan ACK Flood.
Ini mengumpulkan karakteristik tentang perangkat yang terinfeksi, termasuk string ajaib, versi OS, versi malware, keberadaan rootkit, statistik memori, informasi CPU, dan kecepatan LAN, yang dienkripsi dan kemudian dikirim ke server C2.