Akamai的专家们发现Linux XOR DDoS僵尸网络,它是一个恶意的网络基础设施,可用于对几十个目标发起强有力的DDoS攻击。此外,它主要针对游戏领域和教育行业的网站。
安全人员已经发现了一种Linux僵尸网络,它被称为XOR DDoS或Xor.DDoS僵尸网络。此外, 它主要针对游戏和教育网站,能够对其发起强有力的DDoS攻击,可以达到每秒1500亿字节的恶意流量。 根据内容分发网络Akamai科技发布的一份报告,XOR DDoS僵尸网络每天至少瞄准20个网站,将近90%的目标站点位于亚洲。 报告 中声称:
“Akamai的安全情报反应小组(SIRT)正在追踪XOR DDoS,这是一个木马恶意软件,攻击者使用它劫持Linux机器并将其加入到僵尸网络,以发起分布式拒绝服务攻击(DDoS)活动。迄今为止,XOR DDoS僵尸网络的DDoS攻击带宽从数十亿字节每秒(Gbps)到150+Gbps。游戏行业是其主要的攻击目标,然后是教育机构。今天早上Akamai SIRT发布了一份安全威胁报告,该报告由安全响应工程师Tsvetelin ‘Vincent’ Choranov所作。”
Blaze安全博客( Blaze Security blog )发表的一篇博文中陈述道:
“简而言之:Xor.DDoS是一个多平台、多态的针对Linux系统的恶意软件,它的最终目标是DDoS其他机器。其名字Xor.DDoS来源于大量使用的XOR加密,该加密方法同时用于恶意软件和到C&C服务器的网络通信中。”
研究人员发现, 攻击者伪装了参与DDoS攻击的机器的IP地址。在某些情况下,他们使用IP欺骗技术使受害者更难维护基础设施对攻击的抵御能力。专家们发现,XOR DDoS攻击依赖于这样的Linux机器,它们用于保护命令shell的弱密码被攻击者破解,然后被入侵并控制。一旦攻击者获得Linux机器的访问权限,他们将使用root权限启动一个用来下载并执行恶意二进制文件的脚本。 Akamai的安全业务单位的高级副总裁兼总经理Stuart Scholly解释说:
“XOR DDoS攻击是一个例子,即攻击者切换焦点并使用攻陷的Linux系统构建僵尸网络,然后发起DDoS攻击。目前这种情况比过去更常见,过去Windows机器是DDoS恶意软件的主要攻击目标。”
根据最近发现的情况,XOR DDoS并不是唯一的由Linux系统组成的僵尸网络,其他基于Linux的恶意软件的例子包括 Spike DDoS工具包 和 IptabLes and IptabLex恶意软件 ,它们在去年针对Linux服务器运行大规模的DDoS攻击。Akamai发布的报告中解释道:
“对于恶意攻击者来说,Linux漏洞的数量一直在持续增长,例如今年早些时候在GNU C库中发现的基于堆的缓冲区溢出漏洞,XOR DDoS本身并没有利用特定的漏洞。”
* 参考来源: securityaffairs ,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)