XorDDoS, Mirai e Mozi: malwares para Linux crescem 35% em 2021

As famílias de malware XorDDoS, Mirai e Mozi responderam por mais de 22% das ameaças alvejando sistemas baseados em Linux comparados ao ano anterior, segundo um relatório da empresa de cibersegurança CrowdStrike.

Foto: Divulgação

Dispositivos de Internet das Coisas (IoT) são os alvos mais comuns desses malwares de Linux, o ambiente responde pelo aumento de 35% em 2021 em relação a 2020, segundo a atual telemetria de ameaças da empresa. Elas comprometem dispositivos vulneráveis conectados à rede, acumulá-los como botnets, além de usá-los para DDoS (negação de serviço distribuída).

As três principais famílias citadas representaram 22% de todos os malwares para IoT baseados em Linux no ano passado. Entre eles, Mori se destaca, registrando um aumento significativo de até dez vezes no número encontrados in-the-wild em 2021.

Malwares baseados em Linux e IoT

Mais de 30 bilhões de dispositivos de Internet das Coisas estão projetados para serem conectados à internet até o fim de 2025, o que deve criar uma superfície para ataques potenciais para atacantes criarem bots massivos.

A popularidade por oferecer escalabilidade, recursos de segurança e ampla gama de distribuições para suportar múltiplos projetos de hardware, além de ótimo desempenho em qualquer exigência de hardware, por consequência, o sistema de código aberto alimenta a maior parte da infraestrutura e servidores de web atuais, bem como dispositivos móveis e IoT.

A extensa gama de construções e distros Linux responsável por infra de nuvens, móveis e de Internet das Coisas faz com que hajam múltiplas oportunidades para atacantes.

O uso de botnets é outro exemplo. Uma rede de dispositivos comprometidos (rede de botnets) conectados a um centro remoto de comando e controle (C2) funciona como uma pequena engrenagem em uma rede maior, a qual pode infectar outros dispositivos. Frequentemente eles são usados para ataques de negação de serviço distribuídos, spam, controle remoto e execução de atividades intensiva de CPU (por exemplo, criptografia).

Os ataques DDoS consistem em usar múltiplos dispositivos conectados à web para acessar um serviço ou gateway específico, impedindo que o tráfego legítimo consuma toda a largura da banda, causando os conhecidos travamentos.

Em 2016, o incidente com a rede de bots Mirai demonstrou que um grande número de dispositivos aparentemente benignos executando um ataque DDoS pode interromper serviços críticos da Internet, afetando tanto organizações quanto usuários médios.

XorDDoS representou aumento de 123% nas amostras de malware

O trojan utiliza ataques de força bruta SSH para obter controle remoto de dispositivos vulneráveis. Algumas variantes do XorDDoS em máquinas Linux pesquisam servidores Docker com a porta 2375 aberta, a qual oferece um soquete Docker não criptografado e acesso remoto sem senha de root ao host. Desta forma, os atacantes abusam desse cenário para obter acesso root à máquina.

Trata-se de um trojan compilado para múltiplas arquiteturas Linux, variando de ARM a x86 e x64. O nome XorDDoS é derivado do uso da criptografia XOR em malware e comunicação de rede para infraestrutura C2.

Imagem: Wk1003mike/Shutterstock

Em 2021, o número de amostras de XorDDoS aumentou quase 123% em relação ao ano anterior, segundo pesquisadores da CrowdStrike.

Mozi: 10 vezes mais prevalente durante o ano passado

Trata-se de uma rede de botnet peer-to-peer (P2P) que usa o sistema de tabelas hash distribuídas (DHT), que implementa o próprio DHT estendido. Para esconder a comunicação C2 atrás de uma grande quantidade de tráfego legítimo de DHT, a Mozi recorre à permissão do mecanismo de busca distribuído e descentralizado fornecido pelo sistema de tabelas.

O desenvolvimento rápido de uma rede P2P se deve ao uso de DHT, e por usar uma extensão sobre o DHT, a detecção da comunicação C2 se torna difícil, já que não está correlacionada com o tráfego normal.

Assim como o XorDDoS, a Mozi infecta sistemas por força bruta das portas SSH e Telnet, bloqueando essas portas para que não seja sobregravada por outros atores ou malwares.