増加するXorDdos

XorDdosはマルウェアです。
感染するとDDoSを実行するボットネットに加えられます。
XorDdosは2014年から観測されているものなので決して新しいものではありませんが、頻繁に内容が変更されたものが観測されています。
現在のXorDdosはこんな感じです。

• ターゲットはLinux
  感染対象はLinuxです。

• 入口はSSH
  SSHでrootユーザとして接続を試みるブルートフォース攻撃から始まります。

• daemon化
  マルウェアが動作する際にdaemonとして動作します。
  これにより特定のTTYへの関連や特定の親プロセスIDとの関連を見えなくします。
  解析の困難化が目的です。

• 自分の情報の暗号化
  マルウェアが動作する際に必要な情報がいくつもあります。
  実行時に参照するファイルの情報や連係動作するリモートのURLなどです。
  そういった情報をそのままマルウェアの中に保持するとそれが解析されて対策されてしまいます。
  それを回避するため、自分が使用する情報を暗号化して保持します。
  使用する機構は排他的論理和です。
  ここに由来してマルウェアの名称がXorDdosなんですね。

• プロセス名の隠蔽
  通常のプロセスは実行中にprocfsで詳細情報を参照することができます。
  どのような引数が渡されたのかなどもprocfsで確認することができます。
  この情報で解析を進めることができます。
  このマルウェアはこれを回避するために実行開始後にprocfsの内容を変更し、元の実行内容がprocfsでみることでは判別できないようにします。

• カーネルルートキット
  Linuxのkernelにルートキットを流し込みます。
  これが作用するとマルウェアのプロセスは見えなくなりますし、マルウェアが使用するネットワークの状態も見えなくできます。
  kernelに流し込まれたルートキットがあることがわかる情報も見えなくされますので、存在がわからなくなってしまいます。

• 永続化
  いくつもの機構で永続化を図ります。
  OS起動時の初期化スクリプト、cronの利用、などを使用し、永続化されます。

• DDoSの実施
  準備は整いました。
  悪いことをしていることがその機器上では認識できない状態に仕立てることができました。
  SYNフラッド攻撃、DNS攻撃、ACKフラッド攻撃の機能が実装されています。

こんなところです。
以前のXorDdosの入口は、Docker APIの脆弱性の悪用であるときもありました。

このマルウェアだけではないですが、活動が始まってしまうとかなり面倒なことになります。
入口をふさぐことが重要ということですね。

参考記事（外部リンク）：Rise in XorDdos: A deeper look at the stealthy DDoS malware
targeting Linux devices
www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/