Κυριακή, 22 Οκτώβριος 2017, 5:53 πμ

Linux botnet με το XOR DDoS Trojan και επιθέσεις στα 150 Gbps!

Botnet ικανό να πραγματοποιήσει επιθέσεις Distributed Denial of Service (DdoS) όγκου άνω των 150 Gbps δημιούργησαν κυβερνοεγκληματίες, με τη βοήθεια ενός Trojan που το ονόμασαν XOR DDoS. Η ιδιαιτερότητα του εν λόγω Trojan είναι ότι παίρνει τον έλεγχο συστημάτων Linux!

Botnet ικανό να πραγματοποιήσει επιθέσεις Distributed Denial of Service (DdoS) όγκου άνω των 150 Gbps έθεσαν σε λειτουργία κυβερνοεγκληματίες, με τη βοήθεια ενός Trojan που το ονόμασαν XOR DDoS. Η ιδιαιτερότητα του εν λόγω Trojan είναι ότι παίρνει τον έλεγχο συστημάτων Linux!

Σύμφωνα με όσα αναφέρονται σε έκθεση της Akamai και συγκεκριμένα της ομάδας της Security Intelligence Response Team (SIRT), το 90% των επιθέσεων DDoS του XOR DDoS botnet έχουν ως στόχο διάφορους οργανισμούς στην Ασία. Καθημερινά καταγράφονται πάνω από 20 επιθέσεις.

Πως λειτουργεί το XOR DDoS Trojan;

Το συγκεκριμένο Trojan μολύνει υπολογιστές με λειτουργικά συστήματα Linux, κατευθύνοντάς τα να πραγματοποιήσουν επιθέσεις άρνησης παροχής υπηρεσιών, κατά τη βούληση του επιτιθέμενου.

Αρχικά οι κυβερνοεγκληματίες προσπαθούν να αποκτήσουν πρόσβαση στις υπηρεσίες του Secure Shell με επιθέσεις brute force, ώστε να ανακαλύψουν τον κωδικό πρόσβασης. Αφού αποκτήσουν πρόσβαση, τότε έχοντας δικαιώματα root τρέχουν ένα script στο Bash shell, ώστε να κατεβάσουν και να εκτελέσουν κακόβουλο κώδικα.

“Το προηγούμενο έτος, το botnet XOR DDoS διογκώθηκε και τώρα οι δημιουργοί του είναι σε θέση να πραγματοποιήσουν επιθέσεις τεραστίου μεγέθους”, αναφέρει ο Stuart Scholly της Akamai. “To XOR DDoS είναι ένα ενδεικτικό της τάσης των κυβερνοεγκληματιών να στρέφονται στα λειτουργικά συστήματα Linux, αφού για χρόνια είχαμε συνδέσει την έννοια του botnet με τα Windows”.

Στην έρευνα της Akamai αναφέρεται ότι το bandwith των επιθέσεων που πραγματοποιούνται μέσω του botnet του XOR DDoS κυμαίνονται από μονοψήφια νούμερα Gbps μέχρι και 150+ Gbps αριθμός εξωφρενικός! Μια από τις επιθέσεις που καταγράφηκε ήταν της τάξης των 179 Gbps. Παρατηρήθηκαν, επίσης, δύο χαρακτηριστικά: SYN και DNS floods.

Στόχο των επιθέσεων αποτέλεσαν κατά κύριο λόγο εταιρείες δημιουργίας ηλεκτρονικών παιχνιδιών και ακολούθως εκπαιδευτικά ιδρύματα.

Τεχνικές λεπτομέρειες

“Σε ορισμένες εκ των περιπτώσεων, η διεύθυνση IP του bot έχει αλλοιωθεί (spoofing)” αναφέρεται στην έκθεση του SIRT της Akamai. Ειδικότερα, για το spoofed traffic, παρατηρήθηκε ότι οι τελικά εμφανιζόμενες IP φαινόταν να προέρχονται από το ίδιο subnet  /24 (255.255.255.0) ή /16 (255.255.0.0) με τον μολυσμένο host. Με την τεχνική spoofing που χρησιμοποιούν, οι κυβερνοεγκληματίες τροποποιούν μόνο την τρίτη ή την τέταρτη οκτάδα bit της IP διεύθυνσης, ώστε οι ISPs να μη μπλοκάρουν το αλλοιωμένο traffic στα Unicast Reverse Path Forwarding (uRPF)-protected δίκτυα.

Botnet ικανό να πραγματοποιήσει επιθέσεις Distributed Denial of Service (DdoS) όγκου άνω των 150 Gbps έθεσαν σε λειτουργία κυβερνοεγκληματίες, με τη βοήθεια ενός Trojan που το ονόμασαν XOR DDoS. Η ιδιαιτερότητα του εν λόγω Trojan είναι ότι παίρνει τον έλεγχο συστημάτων Linux! Σύμφωνα με όσα αναφέρονται σε έκθεση της Akamai και…
Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !
90

Δείτε επίσης:

Η πρώτη σε βάθος ανάλυση του εσωτερικού λειτουργικού συστήματος Red Star OS της Βόρειας Κορέας αποκάλυψε κατασκοπευτικά εργαλεία ικανά να παρακολουθούν έγγραφα offline, όπως αναφέρεται σε δημοσίευμα του BBC.

Εργαλεία κατασκοπείας στο λειτουργικό σύστημα Red Star της Βόρειας Κορέας

Η πρώτη σε βάθος ανάλυση του εσωτερικού λειτουργικού συστήματος Red Star OS της Βόρειας Κορέας …