Microsoft surveille XorDdos, un botnet DDoS qui infecte les serveurs Linux via SSH
Microsoft surveille de près l'activité du botnet XorDdos, et ces derniers mois, il s'avère que son activité a fortement augmenté : +254%. Voici ce qu'il faut savoir à son sujet.
Le logiciel malveillant XorDdos est un botnet constitué de machines Linux et qui n'est pas nouveau puisqu'il est connu depuis 8 ans environ. Comme son nom le laisse penser, il est utilisé afin de mener des attaques par déni de service distribué (DDoS). Pour élargir ce réseau de machines infectées, des attaques automatisées sont exécutées sur des serveurs Linux où le service SSH est exposé sur Internet. Dans le cadre de ces attaques, la méthode par brute force est utilisée pour tenter de trouver le mot de passe d'accès au serveur au travers d'une connexion SSH. Les serveurs dont le service SSH est exposé sur Internet, qui utilisent un mot de passe faible et qui n'ont pas de systèmes de protection (CrowdSec, fail2ban, etc...) sont particulièrement vulnérables. Le botnet XorDddos profiterait également des objets connectés connectés à Internet (IoT), basés sur Linux et peu sécurisés, ainsi que les instances Docker.
Lorsqu'une machine est compromise, ce qui signifie que le botnet s'est connecté en tant que root sur le serveur, le logiciel malveillant est mis en place. À partir de là, il commence à communiquer avec le serveur C2 de l'attaquant au travers d'une communication basée sur du chiffrement XOR. Dans un premier temps, le botnet collecte des informations basiques sur la machine infectée telles que la version du système, le type de processeur, la vitesse du réseau local, ou encore l'utilisation de la mémoire. D'après Microsoft, les machines infectées ne sont pas seulement intégrées au réseau du botnet XorDdos. En effet, d'autres souches malveillantes infectent ces machines telles que la porte dérobée Tsunami et le logiciel de cryptominning XMRig.
XorDdos est un logiciel malveillant particulièrement évolué puisqu'il dispose de capacités d'évasion lui permettant de dissimuler ses activités, et qu'il tourne en arrière-plan sur les systèmes infectés. Microsoft précise que XorDdos "comprend également plusieurs mécanismes de persistance pour prendre en charge diverses distributions Linux".
Dans son rapport, la firme de Redmond précise que Microsoft Defender for Endpoint détecte et bloque XorDdos en identifiant les menaces comme ceci :
- DoS:Linux/Xorddos.A
- DoS:Linux/Xorddos!rfn
- Trojan:Linux/Xorddos
- Trojan:Linux/Xorddos.AA
- Trojan:Linux/Xorddos!rfn
- Behavior:Linux/Xorddos.A
Ce qui est particulièrement inquiétant, c'est le nombre de machines qui peuvent constituer ce botnet et qui pourraient être utilisées pour mener une attaque DDoS d'envergure. Sinon, pour que ce botnet parvienne à compromettre une machine Linux, il faut vraiment ne pas respecter les principes de bases en commençant par utiliser un mot de passe fort et ne pas permettre l'autorisation via le compte "root" sur un accès SSH.
