近期，微軟表示在過去六個月中，一種用于入侵Linux設備并構建DDoS僵尸網絡的隱秘模塊化惡意軟件的活動量大幅增加了254%。該惡意軟件從2014年開始活躍，也被稱為XorDDoS或XOR DDoS，因為它在與命令和控制(C2)服務器通信時使用基于XOR的加密，并被用于發(fā)起分布式拒絕服務(DDoS)攻擊。正如該公司透露的那樣，僵尸網絡的成功可能是由于其廣泛使用各種規(guī)避和持久性策略，使其能夠保持隱秘且難以清除。

微軟365Defender研究團隊表示，它的規(guī)避能力包括混淆惡意軟件的活動、規(guī)避基于規(guī)則的檢測機制和基于哈希的惡意文件查找，以及使用反取證技術來破壞基于進程樹的分析?！拔覀冊谧罱幕顒又杏^察到，XorDdos通過用空字節(jié)覆蓋敏感文件來隱藏惡意活動以防止分析?！?/p>

XorDDoS 以針對多種Linux系統架構而聞名，從ARM(物聯網)到x64(服務器)，并在 SSH 蠻力攻擊中破壞易受攻擊的架構。為了傳播到更多設備，它使用一個shell腳本，該腳本將嘗試使用各種密碼以 root 身份登錄數以千計的互聯網公開系統，直到最終找到匹配項。

除了發(fā)起DDoS攻擊外，惡意軟件的操作者還使用XorDDoS僵尸網絡安裝rootkit，維護對被黑設備的訪問，并很可能釋放額外的惡意負載。微軟補充說:“我們發(fā)現，最先感染XorDdos的設備后來又被其他惡意軟件感染，比如海嘯后門，它還進一步部署了XMRig幣挖礦機。雖然我們沒有觀察到 XorDdos 直接安裝和分發(fā)像海嘯這樣的二級有效載荷，但木馬有可能被用作后續(xù)活動的載體?！?/p>

微軟自12月以來檢測到的 XorDDoS 活動的巨大增長與網絡安全公司 CrowdStrike 的一份報告一致，該報告稱Linux 惡意軟件在2021年與上一年相比增長了 35% 。

XorDDoS、Mirai和Mozi是最流行的攻擊種類，占2021年觀察到的所有針對 Linux 設備的惡意軟件攻擊的 22%。在這三者中，CrowdStrike 表示 XorDDoS 同比顯著增長了 123%，而 Mozi 的活動呈爆炸式增長，去年全年在野檢測到的樣本數量增加了 10 倍。Intezer 2021 年 2月的一份報告顯示，與2019年相比，2020年Linux惡意軟件種類增加了約 40%。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/