Los investigadores del Equipo de Respuesta de Inteligencia de Seguridad en Akamai el martes emitió un aviso de amenaza de alto riesgo de proliferación del XOR DDoS.
El troyano XOR DDoS se utiliza para secuestrar servidores Linux para construir una red de bots para ataques de denegación de servicio distribuidos con SYN y DNS, los investigadores que siguen el malware se dijeron.
La bot basado en Linux, que descubrieron el año pasado, puede acabar con los sitios web bajo una avalancha de tráfico DDoS superior a 150 Gbps utilizando grandes volúmenes de tráfico de red no deseado.
El malware compromete sistemas Linux que utilizan los enrutadores de red y otros dispositivos integrados para aplicar ataques de fuerza bruta para obtener acceso Secure Shell, dijo Akamai SIRT.
«¿Qué tan grave es el riesgo? El riesgo de infección depende de si la autenticación de la raíz se habilita el uso de una contraseña débil», dijo Tsvetelin «Vincent» Choranov, ingeniero de respuesta de seguridad de Akamai SIRT.
«Aunque este proceso ha sido ampliamente hablado, la botnet XOR DDoS es un excelente ejemplo de cómo están siendo ignorados mejores prácticas de seguridad», dijo a LinuxInsider.
Los vectores de ataque
El ancho de banda de los ataques DDoS de la botnet XOR DDoS oscila entre unos pocos gigabits por segundo a más de 150 Gbps, dijo Akamai SIRT. Ataca hasta 20 objetivos por día, en su mayoría sitios web de juegos y las instituciones educativas.
El origen del malware es Asia y alrededor del 90 por ciento de los ataques se han producido en Asia.
Cómo funciona
Métodos de ataque de la bot son bastante significativos. Se propaga mediante el uso de la fuerza bruta SSH como su punto de entrada, a continuación, ejecuta los comandos para descargar en sí a una computadora, dijo Tom Gorup, líder de operaciones de seguridad en Graja de Seguridad.
«Si la contraseña es larga y compleja o PEM teclas (Privacy Enhanced Mail) las que se están utilizando, las posibilidades de infección son bajas. Esto refuerza las mejores prácticas», dijo a LinuxInsider.
El malware no se propaga a través de una vulnerabilidad de acogida.
El código binario malicioso crea dos copias de sí mismo. Uno está en el directorio boot / con un nombre de archivo compuesto por 10 caracteres alfanuméricos aleatorios. La segunda copia se encuentra en / lib / udev con un nombre de archivo de «udev».
La copia en / boot permite la lectura, escritura y ejecución. La copia en / lib / udev sólo se tiene permisos de lectura. Sólo el usuario root sólo puede acceder a ambas copias.
Factores de riesgo
El principal riesgo de un ataque DDoS XOR es que se queda fuera de línea, señaló Choranov de Akamai SIRT.
Otra preocupación es la disponibilidad de los recursos informáticos, dijo Gorup Rook Seguridad.
Este tipo de ataque cibernético tiene tanto éxito en gran parte debido a la administración de contraseñas descuidada, según Brad Hibbert, director de tecnología de BeyondTrust. Para simplificar la administración, muchos equipos de TI utilizan la misma contraseña local a través de múltiples servidores, cuentas de servicios y aplicaciones, y rara vez, o nunca, la cambian en masa.
«Este problema puede conducir a una variedad de actividades maliciosas y puede resultar en un aumento de la tasa de éxito de este tipo de ataques de fuerza bruta», dijo a LinuxInsider.
Los departamentos de TI a menudo ignoran el tipo de ayuda ya están disponibles para mitigar ataques DDoS, dijo Jim McMurry, CEO de Grupo de Seguridad Milton.