Ботнет из Linux-устройств разросся настолько, что может генерировать атаки с потоком более 150 Гбит/с, что многократно превышает запас прочности инфраструктуры среднестатистической компании. О начале подобных DDoS-атак сообщили исследователи из Akamai Technologies.
Сетевой червь, более известный как XOR DDoS, при помощи которого и был собран ботнет, выявили еще в сентябре 2014 года. В январе этого года пользователь Хабра Patr1ot07 опубликовал статью, в которой рассказал о том, как работает зловред.
Инфицирование начинается с попытки брут-форса SSH, используя логин root. В случае успеха злоумышленники получают доступ к скомпрометированной машине, а затем устанавливают троян, как правило, с помощью шелл-скрипта. Скрипт содержит такие процедуры, как main, check, compiler, uncompress, setup, generate, upload, checkbuild и т.д. и переменные __host_32__, __host_64__, __kernel__, __remote__,, и т.д. Процедура main расшифровывает и выбирает C&C сервер, основываясь на архитектуре системы.
Исследователи из Akamai Technologies утверждают, что последние DDoS-атаки ботнета имели «мощность» от нескольких, до 150 Гбит/с, а нападению подвергаются до двадцати целей в сутки. Пока основной удар принимает на себя азиатский регион — более 90% целей ботнета XOR DDoS находится именно там. Атакуют, в основном, компании работающие в сфере онлайн-игр, а также образовательные учреждения.
XOR DDoS является одним из нескольких сетевых червей, которые нацелены конкретно на Linux-системы. Деятельность группы, управляющей зловредом, отражает общую тенденцию по инфицированию оборудования и использования этих мощностей для проведения, в первую очередь, DDoS-атак. Наиболее уязвимыми являются плохо или вовсе не настроенные должным образом системы, а так же «заброшенное», но подключенное к сети оборудование. Исходя из статистики последних двух лет, последнее в особенности касается маршрутизаторов.
На форумах в сети пишут, что малварь проживает в /lib/libgcc4.so, а в /etc/crontab прописано ее перманентное сохранение с трехминутным таймингом на проверку ( */3 * * * * root /etc/cron.hourly/udev.sh ). Даже если crontab будет вычищен, но XOR DDoS продолжит работать, запись о нем будет восстановлена в полночь пятницы. Полностью с постом об этом можно ознакомиться тут.
«Десять лет назад Linux позиционировался как безопасная альтернатива Windows, которая в то время серьезно страдала от атак, львиная доля которых приходилась именно на это семейство ОС. Из-за этого Linux все чаще и чаще применялся и применяется для повышения уровня информационной безопасности, но поскольку сфера применения этой системы расширилась, расширились и возможности киберпреступников. Сейчас злоумышленники активно развивают тактику и инструментарий для атак на Linux-системы, поэтому системные администраторы и специалисты по безопасности должны ужесточать свою политику на местах», — прокомментировали в Akamai Technologies.
В комментариях крайне приветствуется обмен опытом и комментарии от сис.админов и специалистов по информационной безопасности. Возможно, это убережет кого-то от инфицирования.