微软警告针对Linux设备的XorDdos恶意软件上升

Linux僵尸网络恶意软件称为根据微软的最新研究，在过去六个月里，活动激增了254%。

该木马因对 Linux 系统执行拒绝服务攻击而得名，并使用基于 XOR 的加密与其命令和控制 (C2) 服务器进行通信，已知至少自 2014 年以来一直活跃。

微软365 Defender研究团队的Ratnesh Pandey、Yevgeny Kulakov和Jonathan Bar或在对恶意软件进行彻底深入研究时表示：“XorDdos的模块化特性为攻击者提供了一种能够感染多种Linux系统架构的多功能特洛伊木马”。

“它的SSH暴力攻击是一种相对简单但有效的技术，可以获得对许多潜在目标的根访问”。

通过安全外壳（SSH）暴力攻击实现对易受攻击的物联网和其他互联网连接设备的远程控制，使恶意软件能够形成能够承载分布式拒绝服务（DDoS）攻击的僵尸网络。

除了针对ARM、x86和x64体系结构进行编译外，该恶意软件还被设计为支持不同的Linux发行版，更不用说具有虹吸敏感信息、安装rootkit和作为后续活动的载体的功能。

有进一步迹象表明，该恶意软件可能充当其他威胁的渠道，最初被XorDdos破坏的设备随后感染了另一个名为Tsunami的Linux特洛伊木马，该木马随后部署了XMRig coin miner。

近年来，XorDdos针对具有暴露端口（2375）的未受保护的Docker服务器，使用受害系统以虚假流量覆盖目标网络或服务，以使其无法访问。

据网络安全公司CrowdStrike称，XorDdos在2021成为Linux的头号目标威胁，其次是Mirai和Mozi，占所有野生物联网恶意软件的22%以上。

研究人员指出：“XorDdos使用规避和持久化机制，使其操作保持健壮和隐蔽”。

“它的规避功能包括混淆恶意软件的活动，规避基于规则的检测机制和基于哈希的恶意文件查找，以及使用反取证技术破坏基于进程树的分析”。