Ботнет з Linux-пристроїв організовує DDoS-атаки з потоком трафіку 150 Гбіт/с і вище

image

Ботнет з Linux-пристроїв розрісся настільки, що може генерувати атаки з потоком понад 150 Гбіт/с, що багаторазово перевищує запас міцності інфраструктури середньостатистичної компанії. Про початок подібних DDoS-атак, повідомили дослідники з Akamai Technologies.

Мережевий черв'як, більш відомий як XOR DDoS, за допомогою якого і був зібраний ботнет, виявили ще у вересні 2014 року. У січні цього року користувач Хабра Patr1ot07 опублікував статтю, в якій розповів про те, як працює програма.

Інфікування починається з намагання брут-форс SSH, використовуючи логін root. У разі успіху зловмисники отримують доступ до скомпрометованої машині, а потім встановлюють троян, як правило, з допомогою шелл-скрипта. Скрипт містить такі процедури, як main, check, компілятор, uncompress, setup, generate, upload, checkbuild і т. д. і змінні __host_32__, __host_64__, __kernel__, __remote__,, і т. д. Процедура main розшифровує і вибирає C&C сервер, базуючись на архітектурі системи.

Дослідники з Akamai Technologies стверджують, що останні DDoS-атаки ботнету мали «потужність» від кількох до 150 Гбіт/с, а нападу піддаються до двадцяти цілей на добу. Поки основний удар приймає на себе азійський регіон — понад 90% цілей ботнету XOR DDoS знаходиться саме там. Атакують, в основному, компанії що працюють у сфері онлайн-ігор, а також освітні установи.

XOR DDoS є одним з декількох мережевих черв'яків, які спрямовані конкретно на Linux-системи. Діяльність групи, що управляє шкідником, відображає загальну тенденцію щодо інфікування обладнання і використання цих потужностей для проведення, в першу чергу, DDoS-атак. Найбільш уразливими є погано або зовсім не налаштовані належним чином системи, а так само «закинута», але підключений до мережі обладнання. Виходячи зі статистики останніх двох років, останнє особливо стосується маршрутизаторів.

На форумах в мережі пишуть, що малварь проживає в /lib/libgcc4.so, а в /etc/crontab прописано її перманентне збереження з трихвилинним таймінгом на перевірку ( */3 * * * * root /etc/cron.hourly/udev.sh ). Навіть якщо crontab буде вичищений, але XOR DDoS продовжить працювати, запис про нього буде відновлена опівночі п'ятниці. Повністю з постом про це можна ознайомитися тут.

«Десять років тому Linux позиціонувався як безпечна альтернатива Windows, яка в той час серйозно страждала від атак, левова частка яких припадала саме на це сімейство ОС. З-за цього Linux все частіше і частіше застосовувався і застосовується для підвищення рівня інформаційної безпеки, але оскільки сфера застосування цієї системи розширилася, розширилися і можливості кіберзлочинців. Зараз зловмисники активно розвивають тактику та інструментарій для атак на Linux-системи, тому системні адміністратори і фахівці з безпеки повинні посилювати свою політику на місцях», — прокоментували у Akamai Technologies.

В коментарях вкрай вітається обмін досвідом і коментарі від сіс.адмінів і фахівців з інформаційної безпеки. Можливо, це вбереже когось від інфікування.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.