DDoS Malware trên Linux phát tán thông qua tấn công Brute Force

Các nhà nghiên cứu tại FireEye đã theo dõi một chiến dịch mà trong đó nhân tố độc hại sử dụng tấn công brute force vào giao thức Secure Shell (SSH) để cài đặt mã độc tấn công DDoS trên Linux và các hệ thống khác.

Malware có tên XOR.DDoS lần đầu được ghi nhận quay trở lại vào tháng 9 bởi nhóm các nhà nghiên cứu Malware Must Die và có sự liên quan đến Trung Quốc. XOR.DDoS khác với những DDoS bot khác bởi vì nó được viết bằng C/C++ và sử dụng một thành phần rootkit để duy trì.

FirEye bắt đầu phân tích XOR DDoS vào giữa tháng 9 khi nhận được một vụ tấn công brute force đến từ một địa chỉ IP thuộc về Hee Thai Limited, một tổ chức có trụ sở tại Hong Kong. FireEye nhận thấy hơn 20,000 lượt thử đăng nhập SSH mỗi máy chủ trong 24 giờ đầu tiên.

Lượt thứ hai của chiến dịch diễn ra vào 19 tháng 11 và 30 tháng 11. Hơn 150,000 lần thử đăng nhập từ các địa chỉ IP thuộc về Hee Thai Limited. Lượt thứ 3 bắt đầu từ 7 tháng 12 và diễn ra đến tận bây giờ. Gần 1 triệu lần thử đăng nhập trên mỗi máy chủ.

Trong trường hợp một mật khẩu SSH brute-forced thành công, tin tặc sẽ đăng nhập vào máy chủ và thực thi lệnh SSH shell. Chúng sẽ lấy thông tin kernel và phiên bản từ thiết bị và sử dụng chúng để tạo ra mã độc tương thích. Khi đã cài đặt trên một hệ thống, XOR.DDoS sẽ kết nối đến máy chủ C&C, từ đó nó sẽ lấy danh sách đối tượng tấn công. Ngoài tấn công DDoS, các botnet sẽ có nhiệm vụ tải về và thực thi các tập tin nhị  phân, nó có thể tự thay thế một phiên bản mới hơn tính năng tự động cập nhật.

Các nhà nghiên cứu cũng phát hiện hai biến thể XOR.DDoS khác dùng trên x86, ARM và các nền tảng khác.

Securityweek