DDoS XOR: botnet de Linux que permite DDoS hasta 150 GB/s
De acuerdo a Akamai, una botnet creada sobre sistemas Linux infectados, puede generar ataques distribuidos de denegación de servicio (DDoS) de más de 150 GB/s, mucho mayor de lo que puede soportar cualquier infraestructura de una empresa típica.
El malware detrás del botnet conocido como DDoS XOR fue identificado en septiembre del año pasado. Los atacantes han instalado el malware en sistemas Linux, incluyendo dispositivos tales como routers WiFi y dispositivos de almacenamiento conectado a la red. Para infectarlos utilizan credenciales SSH débiles que obtienen mediante ataques de fuerza bruta.
Las credenciales se utilizan para acceder a los sistemas vulnerables y ejecutar comandos de shell, descargar e instalar el programa malicioso en el sistema. Para ocultar su presencia, el malware también utiliza técnicas de rootkit comunes.
El equipo de respuesta de seguridad de Akamai ha observado varios ataques recientes procedentes de la botnet XOR DDoS, que van desde unos cuantos gigabits por segundo a más de 150 GB/s. El botnet se está utilizando para atacar a más de 20 objetivos por día, 90 por ciento de los cuales se encuentran en Asia. Los blancos más frecuentes han sido las empresas del sector juegos de azar en línea, seguido por las instituciones educativas.
El equipo de Akamai ha publicado un análisis del malware, con indicadores de las reglas de compromiso y detección con Yara y Snort.
XOR DDoS sólo es uno de los varios malware dirigidos a sistemas Linux y refleja una tendencia hacia el secuestro de equipos mal configurado basados en Linux y utilizados para ataques DDoS. Los routers viejos y sin mantenimiento son especialmente vulnerables a tales ataques, como han demostrado varios incidentes en los últimos dos años.
Más información y prevención:
El malware detrás del botnet conocido como DDoS XOR fue identificado en septiembre del año pasado. Los atacantes han instalado el malware en sistemas Linux, incluyendo dispositivos tales como routers WiFi y dispositivos de almacenamiento conectado a la red. Para infectarlos utilizan credenciales SSH débiles que obtienen mediante ataques de fuerza bruta.
Las credenciales se utilizan para acceder a los sistemas vulnerables y ejecutar comandos de shell, descargar e instalar el programa malicioso en el sistema. Para ocultar su presencia, el malware también utiliza técnicas de rootkit comunes.
El equipo de respuesta de seguridad de Akamai ha observado varios ataques recientes procedentes de la botnet XOR DDoS, que van desde unos cuantos gigabits por segundo a más de 150 GB/s. El botnet se está utilizando para atacar a más de 20 objetivos por día, 90 por ciento de los cuales se encuentran en Asia. Los blancos más frecuentes han sido las empresas del sector juegos de azar en línea, seguido por las instituciones educativas.
El equipo de Akamai ha publicado un análisis del malware, con indicadores de las reglas de compromiso y detección con Yara y Snort.
XOR DDoS sólo es uno de los varios malware dirigidos a sistemas Linux y refleja una tendencia hacia el secuestro de equipos mal configurado basados en Linux y utilizados para ataques DDoS. Los routers viejos y sin mantenimiento son especialmente vulnerables a tales ataques, como han demostrado varios incidentes en los últimos dos años.
Más información y prevención:
- https://blogs.akamai.com/2015/09/xor-ddos-threat-advisory.html
- https://isc.sans.edu/forums/diary/XOR+DDOS+Mitigation+and+Analysis/19827/
- https://www.fireeye.com/blog/threat-research/2015/02/anatomy_of_a_brutef.html
- https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/#more-33072
- http://blog.malwaremustdie.org/2014/09/mmd-0028-2014-fuzzy-reversing-new-china.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!