Ένα κρυφό και αρθρωτό κακόβουλο λογισμικό που χρησιμοποιείται για την εισβολή σε συσκευές Linux και τη δημιουργία ενός botnet DDoS έχει σημειώσει τεράστια αύξηση 254% στη δραστηριότητα τους τελευταίους έξι μήνες, όπως αποκάλυψε σήμερα η Microsoft.
Αυτό το κακόβουλο λογισμικό (ενεργό τουλάχιστον από το 2014) είναι γνωστό ως XorDDoS (ή XOR DDoS) λόγω της χρήσης κρυπτογράφησης που βασίζεται σε XOR όταν επικοινωνεί με διακομιστές εντολών και ελέγχου (C2) και χρησιμοποιείται για την εκκίνηση κατανεμημένης άρνησης υπηρεσίας (DDoS) επιθέσεις.
Όπως αποκάλυψε η εταιρεία, η επιτυχία του botnet πιθανότατα οφείλεται στην εκτεταμένη χρήση διαφόρων τακτικών φοροδιαφυγής και επιμονής που του επιτρέπουν να παραμένει κρυφό και δύσκολο να αφαιρεθεί.
Οι δυνατότητές του για αποφυγή περιλαμβάνουν τη συσκότιση των δραστηριοτήτων του κακόβουλου λογισμικού, την αποφυγή μηχανισμών ανίχνευσης βάσει κανόνων και την αναζήτηση κακόβουλων αρχείων που βασίζονται σε κατακερματισμό, καθώς και τη χρήση αντιδικαστικών τεχνικών για τη διάσπαση της διαδικασίας ανάλυσης που βασίζεται σε δέντρο», είπε η.
«Παρατηρήσαμε οτι το XorDdos κρύβει κακόβουλες δραστηριότητες από την ανάλυση, αντικαθιστώντας ευαίσθητα αρχεία με ένα null byte.”
Για να διαδοθεί σε περισσότερες συσκευές, χρησιμοποιεί ένα σενάριο φλοιού που θα επιχειρήσει να συνδεθεί ως root χρησιμοποιώντας διάφορους κωδικούς πρόσβασης σε χιλιάδες συστήματα που είναι εκτεθειμένα στο Διαδίκτυο μέχρι να βρει τελικά ένα ταίριασμα.