Microsoft ตรวจพบการเพิ่มขึ้นอย่างรวดเร็วของมัลแวร์ Linux XorDDoS

Microsoft พบว่ามัลแวร์ที่ถูกใช้ในการโจมตีระบบปฏิบัติการ Linux และสร้าง DDoS botnet ได้เพิ่มขึ้นมากถึง 254% ในช่วงหกเดือนที่ผ่านมา ซึ่งสอดคล้องกับทาง CrowdStrike ที่พบว่ามัลแวร์บน Linux มีการเติบโต 35% ในช่วงปี 2021 เมื่อเทียบกับปีที่แล้ว และ Intezer เปิดเผยในรายงานเดือนกุมภาพันธ์ 2021 ว่ามัลแวร์ Linux เพิ่มขึ้นประมาณ 40% ในปี 2020 เมื่อเทียบกับปี 2019

XorDDoS, Mirai, Mozi เป็นกลุ่มที่แพร่หลายมากที่สุด คิดเป็น 22% ของการโจมตีมัลแวร์ทั้งหมดที่กำหนดเป้าหมายไปยังอุปกรณ์ Linux ในปี 2021 และในมัลแวร์ 3 ตัวนี้ CrowdStrike กล่าวว่า XorDDoS มีการเพิ่มขึ้นอย่างเด่นชัดเมื่อเทียบเป็นรายปีถึง 123%

มัลแวร์นี้ถูกพบตั้งแต่ปี 2014 เรียกว่า XorDDoS เนื่องจากมีการใช้การเข้ารหัสแบบ XOR เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) และถูกใช้เพื่อโจมตีแบบ DDoS โดยเป็นที่รู้จักจากการมุ่งเป้าหมายไปยังระบบปฏิบัติการ Linux จำนวนมาก ตั้งแต่ ARM (IoT) ไปจนถึง x64 (Servers) และการโจมตีโดยใช้ช่องโหว่ SSH brute-force

ความสำเร็จของมัลแวร์ XorDDos คาดว่ามาจากมัลแวร์ใช้วิธีหลบเลี่ยงการตรวจจับต่างๆ ซึ่งทำให้ตรวจพบ และลบออกได้ยาก เช่น วิธีการเขียนทับไฟล์ด้วย null byte ทำให้สามารถเลี่ยงการตรวจจับไฟล์ที่เป็นอันตรายโดยใช้ค่าแฮชได้ ,การใช้ shell script ในการแพร่กระจายไปยังอุปกรณ์อื่นๆ พยายามเข้าสู่ระบบในฐานะรูทโดยใช้รหัสผ่านต่างๆ ที่มีการเปิดเผยในอินเทอร์เน็ตนับพันระบบ ,การติดตั้ง rootkits รักษาการเข้าถึงอุปกรณ์ที่ถูกแฮ็ก และทิ้งเพย์โหลดที่เป็นอันตรายเพิ่มเติม โดยอุปกรณ์ที่ติด XorDDos ครั้งแรกนั้นจะติดมัลแวร์เพิ่มเติมในภายหลัง เช่น Tsunami backdoor ซึ่งปรับใช้ในการขุดเหรียญ XMRig

ที่มา: bleepingcomputer