Специалисты компании Akamai Technologies обнаружили ботнет, состоящий из Linux-компьютеров. Ботнет получил имя XOR DDoS или Xor.DDoS. Ежедневно хакеры атакуют порядка 20 целей. В основном их жертвами становятся азиатские сайты образовательных учреждений и игровых сообществ.
Приставку XOR к имени ботнет получил из-за использования XOR-шифрования, как в самой малвари, так и для коммуникаций C&C серверами.
Впервые вредоноса XOR DDoS обнаружили еще осенью 2014 года исследователи команды Malware Must Die. Тогда они предположили, что авторами вируса, скорее всего, выступают китайцы. XOR DDoS отличается от большинства DDoS ботов, так как написан на C/C++ и использует rootkit компоненты, чтобы надежнее закрепиться в системе. Помимо DDoS-атак бот способен скачивать и исполнять произвольные бинарные файлы, а также способен заменить самого себя более новой версией, используя встроенный самоапгрейд.
Эксперты Akamai Technologies сообщают, что свидетельств того, что XOR DDoS эксплуатирует какие-либо уязвимости в операционной системе Linux, нет. Вместо этого вредонос взламывает слабые пароли, защищающие командную оболочку Linux-компьютеров. Как только атакующие проникли в систему, они используют root-привилегии для того, чтобы запустить скрипт, скачивающий и исполняющий вредоносные бинарники.
На сегодняшний день масштаб заражения таков, что хакеры успешно проводят DDoS-атаки мощностью 109-179 ГБ/c, используя SYN и DNS флуд.
В Akamai Technologies рекомендуют всем проверить, не подверглись ли вы заражению. Для этого предлагают использовать следующие методы:
Можно использовать правило Snort, чтобы отследить коммуникацию ботнета с C&C серверами.
alert TCP $HOME_NET any -> $EXTERNAL_NET any ( msg: “Xor-DDoS”; \
flow: established; \
content: “BB2FA36AAA9541F0BB2FA36AAA9541F0”; \
offset:32; depth: 64; \
classtype: trojan-activity; \
sid: 201500010; rev: 1;)
Чтобы поискать саму инфекцию, можно воспользоваться YARA.
rule XOR DDosv1{meta:author = “Akamai SIRT”description = “Rule to detect XOR DDos infection”strings:
$st0 = “BB2FA36AAA9541F0”
$st1 = “md5=”
$st2 = “denyip=”
$st3 = “filename=”
$st4 = “rmfile=”
$st5 = “exec_packet”
$st6 = “build_iphdr”condition:
all of them
}
Для поиска SYN и DNS флуда можно применить следующие tcpdump фильтры:
‘ip[2:2] > 0x50’ and ‘tcp[13] & 2 !=0’ and ‘tcp[14:2] == 0xffff’ and ‘tcp[20:4] == 0x020405b4’ and ‘tcp[24:4] == 0x01010402’‘udp[10:4] == 0x01200001’ and ‘udp[14:4] == 0x00000000’ and ‘udp[19] == 0x0001’ and ‘ip- [((ip[2:2]) — 14):1] = 0x01’
Взято с Xakep.ru