XOR DDoS : Un nouveau Botnet Linux qui fait des ravages (150 Gbps)

6
165

Un réseau de serveurs Linux compromis a été découvert, et est devenu si puissant qu’il peut venir à bout des plus grands sites Web d’Internet en lançant des attaques DDoS paralysantes de plus de 150 gigabits par seconde (Gbps).

Le déni de service réseau distribué est rendu possible via le malware surnommé XOR DDoS Botnet, et il ciblerait plus de 20 sites par jour, selon un avis publié par Akamai Technologies. Plus de 90% des serveurs infectés par XOR DDoS sont situés en Asie, et les cibles les plus fréquentes sont le secteur du jeu vidéo et les institutions éducatives.

L’auteur de XOR DDoS Botnet est à priori en Chine, du au fait que les adresses IP de tous les serveurs de commandement et de contrôle (C&C) de XOR sont situés en Asie, où la plupart des machines Linux infectées résident également.

Comment XOR DDoS Botnet infecte les systèmes Linux ?

Contrairement à d’autres botnets DDoS ciblant les OS Microsoft, le botnet XOR DDoS infecte les machines Linux via des dispositifs embarqués tels que les routeurs réseau et le brute force des services SSH des machines afin de gagner un accès root sur les cibles.

Une fois que les attaquants ont acquis et sécurisés leurs pouvoirs local, ils utilisent les privilèges root pour exécuter un script shell qui télécharge discrètement et installe le logiciel malveillant XOR. Cependant, il n’y a pas de preuves concrètes que XOR DDoS infecte les machines en exploitant des failles spécifiques dans le système d’exploitation Linux.

Une large bande passante pour les attaques DDoS

L’équipe de sécurité d’Akamai Response Team (SIRT) a analysé les attaques DDoS ainsi que les vecteurs d’attaque observés, avec une bande passante allant de quelques gigabits par seconde (Gbps) à près de 179 Gbps !

Plus le chiffre augmente, plus le volume de l’attaque DDoS est massif et plus les réseaux ciblés s’écroulent vite. Toutefois, le record en terme d’attaques DDoS enregistrées est actuellement de 400 Gbps.

Au cours de l’année écoulée, le botnet XOR DDoS a grandi et est maintenant capable d’être utilisé pour lancer des attaques DDoS massivesdéclare Stuart Scholly, le vice-président de la Business Unit Sécurité d’Akamai.

Comment détecter et éliminer XOR DDoS botnet ?

Akamai présente deux méthodes différentes pour détecter la version actuelle du malware XOR. Pour Détecter XOR DDoS Botnet dans un réseau, il faut rechercher des communications entre un bot et son serveur C&C en utilisant une règle Snort.

En outre, Akamai fournit également un processus en quatre étapes pour supprimer XOR DDoS d’une machine, comme indiqué ci-dessous :

  • Tout d’abord, identifier les fichiers malveillants dans deux répertoires (/boot et /etc/init.d)
  • Identifier les processus responsables de la persistance du processus principal
  • Tuez les processus malveillants
  • Supprimer les fichiers malveillants (dans /boot et /etc/init.d)
  • En outre, la désactivation du système de connexion SSH (Secure Shell), ou l’utilisation d’un mot de passe fort pourra également vaincre ce problème.

Les commentaires sont fermés.