Inför XorDdos skadlig programvara rekommenderar Microsoft sin Edge-webbläsare till Linux-användare

Mot XorDdos har Microsoft de nödvändiga vapnen: Microsoft Edge och Microsoft Defender Antivirushuvudsakligen.

XorDdos, ett botnät som attackerar Linux-maskiner och först upptäcktes 2014, har florerat sedan slutet av 2021. Microsoft säger att det har sett en 254% ökning i aktivitet under de senaste sex månaderna. Ingen anledning att få panik, men eftersom Redmond-jätten har paraden: använd bland annat dess Edge-webbläsare.

Hotet…

Artikeln publicerad av Microsoft, mycket kvalitativ dessutom, specificerar att XorDdos riktar sig till Linux-baserade operativsystem, vanligtvis utplacerade för molninfrastrukturer och Internet of Things (IoT)-enheter. Den bildar alltså ett nätverk av zombiemaskiner som kan användas för att utföra DDoS-attacker (distributed denial of service). Dessa attacker blir mer och mer intensiva. Microsoft påminner om 2,4 Tbps som utfördes i augusti 2021, till vilket vi kan lägga till 3,47 Tbps orkestrerade i november samma år. XorDdos-nätverket av zombiemaskiner är inte begränsat till denna typ av attack, men det används också för att utföra brute force-attacker på Secure Shell (SSH)-servrar.

För att göra saken värre drar XorDdos nytta av undanflykts- och uthållighetsmekanik som gör att den kan förbli både smygande och aktiv. Artikeldetaljerna:

Dess flyktmöjligheter inkluderar att dölja skadlig programvara, kringgå regelbaserade upptäcktsmekanismer och hash-baserad skadlig filsökning samt använda anti-kriminaltekniska tekniker för att bryta skadlig programvara baserad skanning. Vi har observerat i de senaste kampanjerna att XorDdos döljer skadlig aktivitet från skanning genom att skriva över känsliga filer med en nollbyte. Den innehåller också olika beständighetsmekanismer för att stödja olika Linux-distributioner.

Utöver de olägenheter och hot som den här typen av attacker orsakar, rapporterar Microsoft att de har observerat att “ enheter som först infekterades med XorDdos infekterades senare med annan skadlig programvara som Tsunami-bakdörren, som sedan distribuerar XMRig-gruvarbetaren “. Teamet klargör att de inte har observerat XorDdos direkt installera och distribuera sekundära program som Tsunami, men tror att det används väl för att distribuera skadlig programvara.

Paraderna…

För det första levererar Microsoft resultatet av sin analys av XorDdos för att hjälpa administratörer att förstå mekanismerna och skydda deras nätverk. På en sekund kommer teamet med några rekommendationer. Hon passar på att berömma Microsofts lösningar som enligt henne är kapabla att skydda Linux-system mot XorDdos-hotet.

Artikeln uppmanar alltså Linux-användare att använda Microsoft Edge eller någon annan webbläsare som stöder Microsoft Defender SmartScreen.

Det uppmanar också att kämpa mot XorDdos med Microsoft Defender för Linux-slutpunkt, särskilt med hjälp av enhetsupptäcktsfunktionen (mappning av enheter i ett nätverk).

Slutligen, Microsoft uppmuntrar användningen av Microsoft Defender Antivirus eller åtminstone Block Endpoint Detection and Response (PEPT). För enheter som kör Microsoft Defender som primärt antivirus, ” Block PEPT ger ett ytterligare försvarslager genom att tillåta Microsoft Defender att vidta automatiska åtgärder på beteendemässiga PEPT-detekteringar efter intrång “. För de som inte har Microsoft Defender Antivirus som sin primära antivirusprodukt, körs PEPT i passivt läge och arbetar i bakgrunden för att fixa upptäckta skadliga artefakter.

Källa: Microsoft