近期，微軟表示在過去六個月中，一種用于入侵Linux設(shè)備并構(gòu)建DDoS僵尸網(wǎng)絡(luò)的隱秘模塊化惡意軟件的活動量大幅增加了254%。該惡意軟件從2014年開始活躍，也被稱為XorDDoS或XOR DDoS，因為它在與命令和控制(C2)服務(wù)器通信時使用基于XOR的加密，并被用于發(fā)起分布式拒絕服務(wù)(DDoS)攻擊。正如該公司透露的那樣，僵尸網(wǎng)絡(luò)的成功可能是由于其廣泛使用各種規(guī)避和持久性策略，使其能夠保持隱秘且難以清除。

微軟365Defender研究團隊表示，它的規(guī)避能力包括混淆惡意軟件的活動、規(guī)避基于規(guī)則的檢測機制和基于哈希的惡意文件查找，以及使用反取證技術(shù)來破壞基于進程樹的分析。“我們在最近的活動中觀察到，XorDdos通過用空字節(jié)覆蓋敏感文件來隱藏惡意活動以防止分析?！?/p>

XorDDoS 以針對多種Linux系統(tǒng)架構(gòu)而聞名，從ARM(物聯(lián)網(wǎng))到x64(服務(wù)器)，并在 SSH 蠻力攻擊中破壞易受攻擊的架構(gòu)。為了傳播到更多設(shè)備，它使用一個shell腳本，該腳本將嘗試使用各種密碼以 root 身份登錄數(shù)以千計的互聯(lián)網(wǎng)公開系統(tǒng)，直到最終找到匹配項。

除了發(fā)起DDoS攻擊外，惡意軟件的操作者還使用XorDDoS僵尸網(wǎng)絡(luò)安裝rootkit，維護對被黑設(shè)備的訪問，并很可能釋放額外的惡意負載。微軟補充說:“我們發(fā)現(xiàn)，最先感染XorDdos的設(shè)備后來又被其他惡意軟件感染，比如海嘯后門，它還進一步部署了XMRig幣挖礦機。雖然我們沒有觀察到 XorDdos 直接安裝和分發(fā)像海嘯這樣的二級有效載荷，但木馬有可能被用作后續(xù)活動的載體?！?/p>

微軟自12月以來檢測到的 XorDDoS 活動的巨大增長與網(wǎng)絡(luò)安全公司 CrowdStrike 的一份報告一致，該報告稱Linux 惡意軟件在2021年與上一年相比增長了 35% 。

XorDDoS、Mirai和Mozi是最流行的攻擊種類，占2021年觀察到的所有針對 Linux 設(shè)備的惡意軟件攻擊的 22%。在這三者中，CrowdStrike 表示 XorDDoS 同比顯著增長了 123%，而 Mozi 的活動呈爆炸式增長，去年全年在野檢測到的樣本數(shù)量增加了 10 倍。Intezer 2021 年 2月的一份報告顯示，與2019年相比，2020年Linux惡意軟件種類增加了約 40%。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/