XOR DDoS : Un nouveau Botnet Linux qui fait des ravages (150 Gbps)

6

Un réseau de serveurs Linux compromis a été découvert, et est devenu si puissant qu’il peut venir à bout des plus grands sites Web d’Internet en lançant des attaques DDoS paralysantes de plus de 150 gigabits par seconde (Gbps).

Le déni de service réseau distribué est rendu possible via le malware surnommé XOR DDoS Botnet, et il ciblerait plus de 20 sites par jour, selon un avis publié par Akamai Technologies. Plus de 90% des serveurs infectés par XOR DDoS sont situés en Asie, et les cibles les plus fréquentes sont le secteur du jeu vidéo et les institutions éducatives.

L’auteur de XOR DDoS Botnet est à priori en Chine, du au fait que les adresses IP de tous les serveurs de commandement et de contrôle (C&C) de XOR sont situés en Asie, où la plupart des machines Linux infectées résident également.

Comment XOR DDoS Botnet infecte les systèmes Linux ?

Contrairement à d’autres botnets DDoS ciblant les OS Microsoft, le botnet XOR DDoS infecte les machines Linux via des dispositifs embarqués tels que les routeurs réseau et le brute force des services SSH des machines afin de gagner un accès root sur les cibles.

Une fois que les attaquants ont acquis et sécurisés leurs pouvoirs local, ils utilisent les privilèges root pour exécuter un script shell qui télécharge discrètement et installe le logiciel malveillant XOR. Cependant, il n’y a pas de preuves concrètes que XOR DDoS infecte les machines en exploitant des failles spécifiques dans le système d’exploitation Linux.

Une large bande passante pour les attaques DDoS

L’équipe de sécurité d’Akamai Response Team (SIRT) a analysé les attaques DDoS ainsi que les vecteurs d’attaque observés, avec une bande passante allant de quelques gigabits par seconde (Gbps) à près de 179 Gbps !

Plus le chiffre augmente, plus le volume de l’attaque DDoS est massif et plus les réseaux ciblés s’écroulent vite. Toutefois, le record en terme d’attaques DDoS enregistrées est actuellement de 400 Gbps.

« Au cours de l’année écoulée, le botnet XOR DDoS a grandi et est maintenant capable d’être utilisé pour lancer des attaques DDoS massives » déclare Stuart Scholly, le vice-président de la Business Unit Sécurité d’Akamai.

Comment détecter et éliminer XOR DDoS botnet ?

Akamai présente deux méthodes différentes pour détecter la version actuelle du malware XOR. Pour Détecter XOR DDoS Botnet dans un réseau, il faut rechercher des communications entre un bot et son serveur C&C en utilisant une règle Snort.

En outre, Akamai fournit également un processus en quatre étapes pour supprimer XOR DDoS d’une machine, comme indiqué ci-dessous :

  • Tout d’abord, identifier les fichiers malveillants dans deux répertoires (/boot et /etc/init.d)
  • Identifier les processus responsables de la persistance du processus principal
  • Tuez les processus malveillants
  • Supprimer les fichiers malveillants (dans /boot et /etc/init.d)
  • En outre, la désactivation du système de connexion SSH (Secure Shell), ou l’utilisation d’un mot de passe fort pourra également vaincre ce problème.

6 Commentaires

  1. […] suffisant pour mettre hors ligne ses cibles. Chaque jour une vingtaine de sites sont ainsi visés. XOR DDoS : Un nouveau Botnet Linux qui fait des ravages (150 Gbps) Publié par UnderNews Actu – Télécharger l'application Android Un réseau de serveurs Linux […]

  2. […] by educational institutions, Akamai said. Here’s more of what Akamai has to say about XOR DDoS: XOR DDoS Un nouveau Botnet Linux qui fait des ravages (150 Gbps) Und (…) Publié par UnderNews Actu Un réseau de serveurs Linux compromis a été découvert, et est […]

  3. […] XOR DDoS : Un nouveau Botnet Linux qui fait des ravages (150 Gbps) Publié par UnderNews Actu Un réseau de serveurs Linux compromis a été découvert, et est devenu si puissant qu’il peut venir à bout des plus grands sites Web d’Internet en lançant des attaques DDoS paralysantes de plus de 150 gigabits par seconde (Gbps). Le déni de service réseau distribué est rendu possible via le malware surnommé XOR DDoS Botnet, et il ciblerait plus de 20 sites par jour, selon un avis publié par Akamai Technologies. Plus de 90% des serveurs infectés par XOR DDoS sont situés en Asie, et les cibles les plus fréquentes sont le secteur du jeu vidéo et les institutions éducatives. L’auteur de XOR DDoS Botnet est à priori en Chine, du au fait que les adresses IP de tous les serveurs de commandement et de contrôle (C&C) de XOR sont situés en Asie, où la plupart des machines Linux infectées résident également. […]

  4. […] XOR DDoS : un puissant botnet Linux. Une fois n'est pas coutume, le botnet XOR DDoS n'est pas constitué de machines Windows infectées mais de systèmes Linux infectés par le cheval de Troie éponyme. À leur insu, ils deviennent la force de frappe pour mener des attaques par déni de service distribué. Ce malware n'est pas tout à fait nouveau. Il avait déjà fait parler de lui fin 2014 mais il existe plusieurs variantes. Il ne se propage pas via l'exploitation d'une vulnérabilité dans le noyau Linux mais par le biais de services SSH (Secure Shell) exposés à des attaques par force brute en raison de mots de passe faibles. Selon Akamai, le botnet XOR DDoS est monté en gamme avec des attaques pouvant générer un trafic de données de 150 gigabits par seconde voire plus. Largement suffisant pour mettre hors ligne ses cibles. Chaque jour une vingtaine de sites sont ainsi visés. XOR DDoS : Un nouveau Botnet Linux qui fait des ravages (150 Gbps) […]

  5. […] suffisant pour mettre hors ligne ses cibles. Chaque jour une vingtaine de sites sont ainsi visés. XOR DDoS : Un nouveau Botnet Linux qui fait des ravages (150 Gbps) Publié par UnderNews Actu Un réseau de serveurs Linux compromis a été découvert, et est […]

  6. […] Un réseau de serveurs Linux compromis a été découvert, et est devenu si puissant qu’il peut venir à bout des plus grands sites Web d’Internet en lançant des attaques DDoS paralysantes de plus de 150 gigabits par seconde (Gbps).Le déni de service réseau distribué est rendu possible via le malware surnommé XOR DDoS Botnet, et il ciblerait plus de 20 sites par jour, selon un avis publié par Akamai Technologies. Plus de 90% des serveurs infectés par XOR DDoS sont situés en Asie, et les cibles les plus fréquentes sont le secteur du jeu vidéo et les institutions éducatives.L’auteur de XOR DDoS Botnet est à priori en Chine, du au fait que les adresses IP de tous les serveurs de commandement et de contrôle (C&C) de XOR sont situés en Asie, où la plupart des machines Linux infectées résident également.  […]

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.