Xor DDoS

Троянское вредоносное ПО для Linux с возможностями руткита

XOR DDoS — это вредоносная троянская программа для Linux с возможностями руткита, которая использовалась для запуска крупномасштабных DDoS-атак. Ее название происходит от интенсивного использования шифрования XOR как во вредоносных программах, так и в сетевых коммуникациях с C&C. Она создана для нескольких архитектур Linux, таких как ARM, x86 и x64. Примечательной особенностью XOR DDoS является возможность скрывать себя с помощью встроенного компонента руткита, который получается путем нескольких шагов установки. ^[1] Она была обнаружена в сентябре 2014 года MalwareMustDie , группой исследователей вредоносного ПО, работающей в белых шляпах . ^{[2] [3] [4]} С ноября 2014 года она была вовлечена в масштабную кампанию по подбору методом подбора, которая длилась не менее трех месяцев. ^[5]

Чтобы получить доступ, он запускает атаку методом подбора, чтобы узнать пароль к службам Secure Shell на Linux. ^[6] После получения учетных данных Secure Shell и успешного входа в систему он использует привилегии root для запуска скрипта, который загружает и устанавливает XOR DDoS. ^[7] Предполагается, что он имеет азиатское происхождение, исходя из его целей, которые, как правило, находятся в Азии. ^[8]

Смотрите также

• DDoS-атака на уровне приложений
• БАШЛИТ
• Ботнет
• Dendroid (вредоносное ПО)
• Атака типа «отказ в обслуживании»
• Руткит
• Зомби (компьютерные науки)
• Ботнет ZeroAccess

Ссылки

1. "Linux DDoS Trojan скрывает себя с помощью встроенного руткита". Avast . 6 января 2015 г. Получено 7 сентября 2019 г.
2. "MMD-0028-2014 - Linux/XOR.DDoS: Fuzzy отменяет новый китайский ELF". Вредоносное ПО должно умереть! . Получено 7 сентября 2019 г. .
3. Константин, Люциан (6 февраля 2015 г.). «Вредоносное ПО для Linux поставляется с изощренным специально созданным руткитом». PCWorld (из IDG) . Получено 6 февраля 2015 г.
4. Cimpanu, Catalin (29 сентября 2015 г.). «XOR DDoS Botnet использует скомпрометированные машины Linux для запуска атак мощностью более 150 Гбит/с». Softpedia News . Получено 29 сентября 2015 г.
5. "Анатомия кампании грубой силы: история Hee Thai Limited". Блог исследования угроз . FireEye. Архивировано из оригинала 18 марта 2015 г. Получено 18 марта 2016 г.
6. "Новый ботнет охотится за Linux — запускает 20 DDoS-атак в день на скорости 150 Гбит/с". thehackernews.com . Получено 18 марта 2016 г.
7. "XOR DDoS Botnet запускает 20 атак в день со взломанных машин Linux, заявляет Akamai" (пресс-релиз). Кембридж, Массачусетс: Reuters. Архивировано из оригинала 18 марта 2016 г. Получено 18 марта 2016 г.
8. "Информация об угрозах: XOR DDoS | Смягчение DDoS-атак, YARA, Snort" (PDF) . stateoftheinternet.com. Архивировано из оригинала 23 марта 2021 г. . Получено 18 марта 2016 г. .