Lo scorso mese, Microsoft ha affermato di aver scoperto delle vulnerabilità Ciò consente alle persone con influenza su più sistemi desktop Linux di ottenere rapidamente i permessi del sistema di root. Questo è stato l’ultimo bug di escalation dei privilegi scoperto in Linux da Microsoft.
Secondo un utente, Microsoft impiega alcuni dei migliori ricercatori di sicurezza al mondo e scopre e risolve regolarmente le vulnerabilità, spesso prima che vengano utilizzate negli ecosistemi. Ciò che questa scoperta mostra in realtà è ciò che chiunque con una conoscenza parziale sa già: non c’è nulla in Linux che lo renda intrinsecamente più affidabile di Windows.
XorDdos illustra la tendenza del malware sempre più mirato ai sistemi operativi basati su Linux, comunemente distribuiti su infrastrutture cloud e dispositivi Internet of Things (IoT), avverte Microsoft.
Gli stessi attacchi DDoS possono essere un grosso problema per una serie di motivi, ma questi attacchi possono anche essere usati come copertura per nascondere altre attività dannose, come la diffusione di malware e l’infiltrazione nei sistemi di destinazione. L’uso di bot per eseguire attacchi DDoS potrebbe causare interruzioni significative, come l’attacco DDoS da 2,4 TB che Microsoft ha mitigato nell’agosto 2021.
Le botnet possono essere utilizzate anche per compromettere altri dispositivi ed è noto che XorDdos utilizza attacchi di forza bruta Secure Shell (SSH) per assumere il controllo dei dispositivi di destinazione da remoto. SSH è uno dei protocolli più comuni nelle infrastrutture IT e consente comunicazioni crittografate su reti non protette ai fini dell’amministrazione remota dei sistemi, rendendolo un vettore attraente per gli aggressori. Dopo che XorDdos ha determinato le credenziali SSH valide, utilizza i privilegi di root per eseguire uno script che scarica e installa XorDdos sul dispositivo di destinazione.
Un tipico vettore di attacco malware XorDdos
XorDdos utilizza meccanismi di evasione e persistenza che consentono alle sue operazioni di rimanere robuste e nascoste. Le sue capacità di evasione includono l’offuscamento delle attività del malware, l’evasione dei meccanismi di rilevamento basati su regole e la ricerca basata su hash di file dannosi, nonché l’uso di tecniche antiforensi per interrompere l’analisi basata su un albero dei processi.
Microsoft afferma di aver notato nelle recenti campagne che XorDdos nasconde attività dannose dalla scansione sovrascrivendo i file sensibili con un byte vuoto. Include anche diversi meccanismi di stabilità per supportare diverse distribuzioni Linux. XorDdos può illustrare un’altra tendenza osservata su varie piattaforme, in cui il malware viene utilizzato per presentare altre minacce pericolose.
Microsoft afferma inoltre di aver scoperto che i dispositivi infettati prima da XorDdos vengono poi infettati da altri malware come una backdoor che poi diffonde il coin miner XMRig. Sebbene non abbiamo osservato XorDdos che installa e distribuisce direttamente payload secondari come lo tsunami, è possibile che il cavallo di Troia sia stato utilizzato come vettore per tracciare le attività, afferma Microsoft.
Microsoft Defender for Endpoint protegge da XorDdos rilevando e affrontando gli attacchi Trojan standard in più passaggi lungo la catena di attacco e qualsiasi potenziale attività di rilevamento degli endpoint. XorDdos si diffonde principalmente attraverso SSH di forza bruta. Utilizza uno script di shell dannoso per provare diversi set di credenziali di root su migliaia di server finché non trova una corrispondenza su una macchina Linux di destinazione. Di conseguenza, su dispositivi infetti da malware possono essere visualizzati diversi tentativi di accesso non riusciti:
Tentativi di accesso falliti su un dispositivo interessato da XorDdos
Microsoft ha identificato due metodi di accesso principali per XorDdos. Il primo metodo consiste nel copiare un file ELF dannoso nella cache /dev/shm e quindi eseguirlo. I file scritti in /dev/shm vengono eliminati al riavvio del sistema, consentendo di nascondere la fonte dell’infezione durante l’analisi forense.
Il secondo metodo consiste nell’eseguire uno script bash che esegue le seguenti attività tramite la riga di comando:
- Vai alle seguenti cartelle per trovare una directory scrivibile
- /Cestino
- /Pagina iniziale
- /radice
- /tmp
- / una birra
- /eccetera
- Se viene trovata una directory scrivibile, cambia la directory di lavoro nella directory scrivibile rilevata;
- Utilizzare il comando curl per scaricare il payload del file ELF dal sito remoto hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt e salva il file come ygljglkjgfg0;
- cambia la modalità del file in “eseguibile”;
- esegue il payload del file ELF;
- Sposta e rinomina il binario Wget per evitare rilevamenti basati su regole attivati da un uso dannoso del binario Wget. In questo caso, Wget rinomina il file binario in buono e sposta il file nelle seguenti posizioni:
- mv/usr/bin/wget/usr/bin/buono
- mf / bin / wget / bin / buono
- Prova a scaricare il payload dal file ELF una seconda volta, ora con solo il file corretto e non il binario Wget;
- Dopo l’esecuzione di un file ELF, utilizza una tecnologia anti-forense che nasconde la sua attività passata sovrascrivendo il contenuto di alcuni file sensibili.
Raccomandazioni Microsoft per la difesa dalle minacce di Linux
La natura modulare di XorDdos fornisce agli aggressori un Trojan versatile in grado di infettare una varietà di architetture di sistema Linux. I loro attacchi di forza bruta SSH sono una tecnica relativamente semplice ma efficace per radicare una serie di potenziali bersagli.
Capace di rubare dati sensibili, installare un rootkit, utilizzare vari meccanismi di evasione e persistenza ed eseguire attacchi DDoS, XorDdos consente ai criminali informatici di causare interruzioni potenzialmente significative ai sistemi di destinazione. Inoltre, XorDdos può essere utilizzato per introdurre altre minacce pericolose o fornire un vettore per il tracciamento delle attività.
Microsoft ha affermato che XorDdos e altre minacce ai dispositivi Linux sottolineano l’importanza fondamentale di disporre di soluzioni di sicurezza con funzionalità complete e visibilità completa su molte distribuzioni di sistemi operativi Linux. Microsoft Defender for Endpoint offre tale visibilità e protezione contro queste minacce emergenti con il rilevamento di malware e le funzionalità EDR (Next Generation Access Point).
Secondo Microsoft, sfruttando le informazioni dettagliate ottenute dai dati integrati delle minacce, tra cui indicazioni su client e cloud, modelli di machine learning, analisi della memoria e monitoraggio del comportamento, Microsoft Defender for Endpoint è in grado di rilevare e affrontare XorDdos e i suoi attacchi modulari in più fasi.
fonte : Microsoft
E tu?
Cosa ne pensi?
Cosa ne pensi di questa vulnerabilità che Microsoft ha scoperto in Linux?
XorDdos illustra la tendenza del malware sempre più mirato ai sistemi operativi basati su Linux, afferma Microsoft. sei d’accordo?
Non c’è niente in Linux che lo renda intrinsecamente più affidabile di Windows, sei d’accordo?
Guarda anche:
“Creatore di problemi. Appassionato di social media. Appassionato di musica. Specialista di cultura pop. Creatore.”