XorDDoS
A Cisco Talos jelentése szerint a XorDDoS nevű, Linux-alapú DDoS trójai továbbra is aktívan terjed világszerte, különösen az Egyesült Államokat célozva. A malware új, „VIP” verzióját és egy központi vezérlőpanelt azonosítottak, amelyek lehetővé teszik a támadók számára, hogy hatékonyabban irányítsák és koordinálják a fertőzött rendszerekből álló botnetet.
XorDDoS SSH brute-force támadásokkal próbál hozzáférést szerezni Linux rendszerekhez. Sikeres bejelentkezés után root jogosultsággal egy scriptet futtat, amely letölti és telepíti a malware-t. A malware init és cron script-eket használ, hogy biztosítsa az automatikus indítást rendszerbetöltéskor, így elkerülve a biztonsági termékek általi észlelést és megszüntetést. A beágyazott konfigurációt egy XOR kulccsal („BB2FA36AAA9541F0”) titkosítja. A dekódolt URL-ek vagy IP-címek alapján kapcsolódik a C2 szerverhez, ahonnan parancsokat fogad.
A legújabb XorDDoS verzió új funkciókat kínál, mint például „stabil anti-kick”, „100% csomagküldés” és „falátjáró optimalizáció”, amelyek célja a támadások hatékonyságának növelése. Ez az eszköz lehetővé teszi a támadók számára, hogy több alvezérlőt irányítsanak egyszerre, így egyszerre több célpont ellen indíthatnak DDoS támadásokat. A vezérlő képes DLL fájlokat injektálni az alvezérlőkbe, teljes irányítást biztosítva felettük.
A vezérlőpanelek és a malware építőeszközök kínai nyelvű felhasználói felülete és dokumentációja alapján a Talos nagy valószínűséggel kínai nyelvű operátorokat feltételez a háttérben. A VIP verzió és a központi vezérlő fejlett funkciói arra utalnak, hogy ezek az eszközök kereskedelmi forgalomban is elérhetők lehetnek a kiberbűnözők számára.
A Talos által végzett forgalomelemzés feltárta a XorDDoS trójai, az alvezérlők és a központi vezérlő közötti kommunikációs mintázatokat, amelyek segíthetnek a védekezésben és a fertőzések azonosításában.
