DDOS-malware

Uma vasta rede de servidores Linux comprometidos cresceu estrondosamente, chegando até a derrubar grandes websites através do lançamento um de ataque de Negação de Serviço Distribuído (DDoS) a uma velocidade de 150 Gbps (gigabits por segundo).

A rede de negação de serviço distribuída, apelidada de XOR DDoS Botnet, têm atacado mais de 20 sites por dia, de acordo com um comunicado publicado pela empresa de entrega de conteúdo via rede (CDN), a Akamai Technologies.

Mais de 90% dos alvos estão localizados na Ásia, e os perfis mais frequentes são empresas do setor de games e instituições de ensino.

Suspeita-se que criador da botnet seja da China, pelo fato de os endereços IP de todos os servidores de Comando e Controle (C & C) da botnet estarem localizados na Ásia, onde a maioria das máquinas Linux infectadas também estão.

Como o XOR DDoS Botnet infecta um sistema Linux?

Ao contrário de outras botnets DDoS, esta infecta máquinas Linux através de dispositivos integrados, como roteadores de rede, e então realiza um ataque de força bruta (Brute Force) no serviço SSH da máquina para ganhar acesso root.

Uma vez que os atacantes conseguiram as credenciais do shell seguro (SSH) e estiverem logados, utilizarão os privilégios de root para executar um script shell simples, o que irá secretamente fazer o download do malware e instalá-lo em seguida.

No entanto, não existem evidências de que o XOR DDoS infecte computadores explorando falhas do próprio sistema operacional GNU/Linux.

Um ataque DDoS utilizando grande quantidade de banda

O Time de Resposta a Incidentes de Segurança (SIRT) da Akamai têm observado ataques DDoS – SYN e DNS Floods como os vetores do ataque, que utilizam uma largura de banda que varia de alguns gigabits por segundo (Gbps) para cerca de 179 Gbps.

É um enorme volume de ataques DDoS onde a maioria das redes corporativas não consegue dar conta da quantidade de tráfego excessivo que está entrando em suas redes. No entanto, o maior registro de ataques de DDoS chegaram a 400 Gbps.

“Desde o ano passado, o botnet XOR DDoS cresceu baastante e agora é capaz de ser usado para lançar ataques DDoS massivos”, disse Stuart Schölly, vice-presidente sênior da Unidade de Negócios da Akamai em um comunicado.

Schölly ainda acrescentou que os atacantes estão mudando o seu foco de botnets Windows e construindo botnets para Linux a fim de lançar ataques DDoS em massa. No entanto, no passado, as máquinas Windows eram os seus principais alvos para o malware que possibilitava realizar esses ataques.

Como detectar e mitigar o XOR DDoS Botnet?

A Akamai descreve em um documento dois métodos diferentes para detectar a versão recente do malware XOR:

  1. Para detectar o XOR DDoS Botnet em sua rede, analise as comunicações entre um bot e servidor C&C respectivo, utilizando as regras do Snort mostradas no documento;
  2. Neste outro método utilizar a regra do YARA também mostrada no documento.

Além disso, a Akamai mostra um processo de quatro etapas para remover o XOR DDoS de sua máquina:

  1. Primeiramente, identifique os arquivos maliciosos em dois diretórios (/boot e /etc/init.d);
  2. Identifique os processos de apoio responsáveis pela persistência do processo principal;
  3. “Mate” os processos maliciosos;
  4. Exclua os arquivos maliciosos (em /boot e /etc/init.d).

Além disso, desativando o login do usuário root (o “senhor” do sistema) no SSH, ou usando uma senha forte também poderá ajudar a anular esta ameaça.

Clique no botão abaixo para ter acesso ao documento da Akamai:

download-button

Fonte: The Hacker News

O que achou?

Animado
0
Feliz
0
Amei
0
Não tenho certeza
0
Bobo
0
RMJ
Adoro letras verdes sob um fundo preto...

More in:Security