Xor DDoS - Xor DDoS

XOR DDoS - вредоносный троян для Linux с возможностями руткита, который использовался для запуска масштабных DDoS-атак. Его название происходит от интенсивного использования шифрования XOR как для вредоносных программ, так и для сетевого взаимодействия с командными серверами. Он создан для нескольких архитектур Linux, таких как ARM, x86 и x64. Примечательно, что XOR DDoS позволяет скрыть себя с помощью встроенного компонента руткита, который можно получить в результате нескольких этапов установки. [1] Он был обнаружен в сентябре 2014 г. Вредоносное ПО, а белая шляпа группа исследования вредоносного ПО. [2][3][4] С ноября 2014 года он участвовал в масштабной кампании грубой силы, которая длилась не менее трех месяцев. [5]

Чтобы получить доступ, он запускает атаку методом перебора, чтобы узнать пароль к службам Secure Shell в Linux.[6] После получения учетных данных Secure Shell и успешного входа в систему он использует привилегии root для запуска сценария, который загружает и устанавливает XOR DDoS.[7]Считается, что он имеет азиатское происхождение из-за его целей, которые, как правило, находятся в Азии. [8]

Смотрите также

Рекомендации

  1. ^ «Linux DDoS-троян, скрывающийся с помощью встроенного руткита». blog.avast.com. Получено 2019-09-07.
  2. ^ "MMD-0028-2014 - Linux / XOR.DDoS: Нечеткое изменение нового китайского ELF". blog.malwaremustdie.org. Получено 2019-09-07.
  3. ^ Лучиан Константин (6 февраля 2015 г.). «Подлая вредоносная программа для Linux поставляется со сложным, специально созданным руткитом». PCWorld (от IDG). Получено 6 февраля, 2015.
  4. ^ Каталин Чимпану (29 сентября 2015 г.). "Ботнет XOR DDoS использует взломанные машины Linux для запуска атак со скоростью 150+ Гбит / с". Новости Softpedia. Получено 29 сентября, 2015.
  5. ^ «Анатомия кампании грубой силы: история Hee Thai Limited» «Блог исследования угроз | FireEye Inc». Архивировано из оригинал на 2015-03-18. Получено 2016-03-18.
  6. ^ «Новые охоты за ботнетами для Linux - 20 DDoS-атак в день на скорости 150 Гбит / с». thehackernews.com. Получено 2016-03-18.
  7. ^ Редакция Рейтер. "www.reuters.com/article/akamai-ddos-advisory-idUSnPn5TLPMJ+9f+PRN20150929". reuters.com. Получено 2016-03-18.
  8. ^ «Уведомление об угрозах: XOR DDoS | Устранение DDoS, YARA, Snort». stateoftheinternet.com. Получено 2016-03-18.