The activity of the Linux XorDdos bot increased by 254% over the last six months
2022/05/20 SecurityAffairs — XORDDoS は XOR.DDoS とも呼ばれる Linux ボットネットであり、2014年に脅威フィールドに登場したものである。ゲームや教育の Web サイト攻撃に利用され、悪意のトラフィックが 150 GB/s に達する大規模な DDoS 攻撃を引き起こしたこともある。XORDDoS は、マルウェア活動の難読化/ルールベース検出メカニズムの回避/ハッシュベースの悪意のファイル検索/永続化メカニズム/アンチフォレンジックなどのテクニックを活用している。Microsoft の専門家は、これまでの6ヶ月の間に、XORDDoS に関連する活動は 254% 増であることを検知している。
XORDDoS は、シェル・スクリプトを使用して、数千台のサーバーでクレデンシャルの組み合わせを試行するという、SSH ブルートフォースにより拡散するのが一般である。
Microsoft の専門家は、XORDDoS がターゲット・システムに侵入する際の、イニシャル・アクセスにおける2つの方法を特定した。最初の方法は、悪意の ELF ファイルを一時ファイル・ストレージである /dev/shm にコピーしてから実行するものだ。2番目の方法は、コマンドラインを介して、一連の活動を行う bash スクリプトの実行を含むものである。
XORDDoS は、init/cron スクリプトや、システムのデフォルト・ランレベルの設定、指定したランレベルで実行されるスクリプトを指すシンボリックリンクなどの、さまざまな Linux ディストリビューションをサポートするための、さまざまな永続化機構を用いている。
同社のレポートは、「XORDDoS はモジュール化されているため、さまざまな Linux システム・アーキテクチャに感染が可能な、汎用性の高いトロイの木馬を、攻撃者は手に入れることになる。その SSH ブルートフォース攻撃は、多くの潜在的なターゲット上で root アクセスを獲得するための、比較的単純で効果的な手法だ。XORDDoS は、機密データの窃取/root キットデバイスのインストール/多様な回避と持続のメカニズムなどを用い、DDoS 攻撃の実行に長けており、ターゲット・システム上で深刻な混乱を引き起こすことが可能だ。さらに、XORDDoS は、他の危険な脅威を呼び込んだり、後続の活動のためのベクターを提供するために使用される可能性もある」と結論づけている。
2022年1月にポストした、「Linux と IoT とマルウェア:2021年の調査結果は前年比で 35% 増」という記事には、「2021年の Linux システムを標的としたマルウェアは、前年比で 35% の増加」と「XORDDoS は、前年比で 123% という顕著な増加を示した」という記述がありました。つまり、XORDDoS の増殖傾向は止まらずに拡大しているわけです。この記事によると、XORDDoS は、ARM (IoT デバイス) から x64 (サーバー) までの、複数の Linux システム・アーキテクチャで動作する多目的 Linux トロイの木馬とのことです。また、文中にもあるように、XORDDoS は SSH 経由で、脆弱なデバイスに対してブルートフォースを仕掛けるそうです。Linux マシンの Port 2375 を介して、ホストへのパスワードなしの root アクセスを獲得するとも説明されています。
IoT OT Security News 
You must be logged in to post a comment.