마이크로소프트, 리눅스 XorDDoS 악성코드 활동이 급증했다고 밝혀

Microsoft detects massive surge in Linux XorDDoS malware activity

 

Linux 장치를 해킹하고 DDoS 봇넷을 구축하는 은밀한 모듈식 악성코드가 지난 6개월 동안 활동이 254%나 증가한 것으로 나타났습니다.

 

최소 2014년 이후로 활동을 시작한 이 악성코드는 명령 및 제어(C2) 서버와의 통신에 XOR 기반 암호화를 사용하고 DDoS 공격에 사용되어 XorDDoS(또는 XOR DDoS)로 알려져 있습니다.

 

마이크로소프트는 해당 봇넷이 성공한 이유에 대해 은밀하고 제거하기 어려운 상태를 유지하는 다양한 회피 및 지속 전술을 폭넓게 사용하기 때문일 것이라 밝혔습니다.

 

마이크로소프트의 365 Defender Research Team은 아래와 같이 밝혔습니다.

 

"이 악성코드는 회피를 위해 악성코드의 활동 난독화, 규칙 기반 탐지 메커니즘 회피, 해시 기반 악성 파일 조회, 트리 기반 분석을 막기 위한 포렌식 방지 기술 등을 사용합니다.”

 

"최근 캠페인에서 XorDDos가 민감 파일을 null byte로 덮어쓰기해 분석 시 악의적인 활동을 숨기는 것을 발견했습니다.”

 

XorDDoS는 ARM(IoT)에서 x64(서버)에 이르기까지 다양한 Linux 시스템을 노리며, SSH 브루트포싱 공격을 통해 취약한 시스템을 해킹하는 것으로 알려졌습니다.

 

또한 더 많은 장치에 확산되기 위해 인터넷에 노출된 시스템 수천 개에 다양한 암호를 대입하여 루트로 로그인을 시도하는 쉘 스크립트를 사용합니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/>

<XorDDoS의 공격 흐름>

 

 

이 악성코드 운영자는 XorDDoS 봇넷을 통해 DDoS 공격을 실행하는 것 이외에도 XorDDoS 봇넷을 통해 루트킷을 설치하고 해킹된 장치에 대한 액세스를 유지하며 추가 악성 페이로드를 드롭합니다.

 

마이크로소프트는 아래와 같이 덧붙였습니다.

 

"처음 XorDdos에 감염된 기기가 이후 XMRig 코인 채굴기를 추가로 배포하는 Tsunami 백도어 등 추가 악성코드에 감염되었음을 발견했습니다."

 

"XorDdos가 Tsunami 등 2차 페이로드를 직접 설치 및 배포하는 것을 관찰하지는 못했지만, 트로이 목마가 후속 활동을 위한 벡터로 활용될 수는 있습니다."

 

마이크로소프트는 12월 이후 XorDDoS이 엄청나게 증가한 것을 발견했으며, 사이버 보안 회사인 CrowdStrike의 보고서에 따르면 Linux 악성코드가 전년에 비해 2021년에 35% 성장했다고 밝혔습니다.

 

2021년 관찰된 Linux 기기를 노리는 모든 악성코드 공격의 22%를 차지하는 가장 많이 확산된 악성코드는 XorDDoS, Mirai, Mozi였습니다.

 

CrowdStrike는 XorDDoS가 전년 대비 활동이 123%나 증가했으며, Mozi는 작년 한 해 동안 실제 공격에서 10배 더 많은 샘플이 탐지 되어 활동이 폭발적으로 증가되었다고 밝혔습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/

https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/