XorDdos, ce botnet infecte les serveurs Linux via SSH

Au cours des derniers mois, Microsoft a constaté une augmentation de 254 % de l’activité de XorDDoS, un réseau de machines Linux infectées vieux d’environ huit ans, utilisé pour des attaques par déni de service distribué (DDoS).

XorDdos mène des attaques automatisées de vérification de mots de passe sur des milliers de serveurs Linux afin de trouver les identifiants d’administration correspondants utilisés sur les serveurs Secure Shell (SSH). SSH est un protocole de communication réseau sécurisé couramment utilisé pour l’administration de systèmes à distance.

Une fois les informations d’identification obtenues, le botnet utilise les privilèges root pour s’installer sur un périphérique Linux et utilise un chiffrement basé sur XOR pour communiquer avec l’infrastructure de commande et de contrôle de l’attaquant.

Si les attaques DDoS constituent une menace sérieuse pour la disponibilité des systèmes et prennent de l’ampleur chaque année, Microsoft s’inquiète des autres capacités de ces botnets.

“Nous avons constaté que les appareils d’abord infectés par XorDdos étaient ensuite infectés par des logiciels malveillants supplémentaires tels que la porte dérobée Tsunami, qui déploie en outre le mineur de pièces XMRig”, note Microsoft.

XorDDos était l’une des familles de logiciels malveillants basés sur Linux les plus actives en 2021, selon Crowdstrike. Le malware a prospéré grâce à la croissance des appareils de l’Internet des objets (IoT), qui fonctionnent pour la plupart sur des variantes de Linux, mais il a également ciblé des clusters Docker mal configurés dans le cloud. Parmi les autres grandes familles de logiciels malveillants ciblant les appareils IoT, citons Mirai et Mozi.

Microsoft n’a pas vu XorDdos installer et distribuer directement la porte dérobée Tsunami, mais ses chercheurs pensent que XorDdos est utilisé comme vecteur pour des activités malveillantes ultérieures.

XorDdos peut dissimuler ses activités aux techniques de détection courantes. Dans une campagne récente, Microsoft l’a vu écraser des fichiers sensibles avec un octet nul.

“Ses capacités d’évasion comprennent l’obscurcissement des activités du malware, l’évitement des mécanismes de détection basés sur les règles et la recherche de fichiers malveillants basée sur le hachage, ainsi que l’utilisation de techniques anti-forensiques pour briser l’analyse basée sur l’arbre des processus. Nous avons observé lors de campagnes récentes que XorDdos dissimule les activités malveillantes à l’analyse en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux”, note Microsoft.

La charge utile XorDdos analysée par Microsoft est un fichier ELF 32 bits au format Linux avec un binaire modulaire écrit en C/C++. Microsoft note que XorDdos utilise un processus démon qui fonctionne en arrière-plan, hors du contrôle des utilisateurs, et se termine lorsque le système est arrêté.

Mais le malware peut se relancer automatiquement lorsqu’un système est redémarré grâce à plusieurs scripts et commandes qui le font s’exécuter automatiquement au démarrage du système.

XorDdoS peut exécuter plusieurs techniques d’attaque DDoS, notamment des attaques par inondation SYN, des attaques DNS et des attaques par inondation ACK.

Il collecte les caractéristiques d’un appareil infecté, notamment la chaîne magique, la version du système d’exploitation, la version du logiciel malveillant, la présence de rootkit, les statistiques de mémoire, les informations sur le processeur et la vitesse du réseau local, qui sont cryptées puis envoyées au serveur C2

Soyez donc vigilant et pensez à mettre à jour vos systèmes Linux que vous soyez en local ou chez un hébergeur comme OVH.