XorDDos: Microsoft warnt vor plötzlicher Aktivität des alten Botnetzes
Microsoft hat darauf hingewiesen, dass ein relativ altes Botnetz plötzlich zu einer lang nicht sichtbaren Aktivität erwacht. Die XorDDoS-Infrastruktur ist den Sicherheitsexperten bereits seit acht Jahren bekannt und verhielt sich lange recht ruhig.
Infografik: Bots produzieren mehr Traffic als Menschen
Laut Microsoft wurde nun aber eine Steigerung der Aktivitäten um 254 Prozent über die vergangenen Monate hinweg verzeichnet. Das könnte darauf hindeuten, dass die Betreiber das hauptsächlich für die Durchführung von DDoS-Angriffen vorgesehene Botnetz bald wieder zum Einsatz bringen wollen. Dafür werden nun wohl zusätzliche Systeme eingesammelt, mit denen die Infrastruktur verstärkt werden soll.
Die Malware hinter XorDDoS greift dabei Linux-Server an. Über eine Liste von häufig genutzten Standard-Logins wird versucht, sich über einen SSH-Port in den jeweiligen Rechner einzuwählen und dort den eigentlichen Schadcode zu platzieren. Über eine XOR-basierte Verschlüsselung wird dann Kontakt zu den Kommandosystemen der Betreiber aufgebaut.
Dass sich die Malware selbst so lange halten kann, liegt wahrscheinlich vor allem daran, dass sie sich gut auf den befallenen Systemen verstecken kann. Und auch manuellen Änderungen der Administratoren an der Systemkonfiguration entgeht sie meist recht gut, da sie gleich an mehreren Stellen beim Hochfahren Startpunkte setzt, so dass auch der Verlust eines Triggers zuverlässig dafür sorgt, dass der Schacode trotzdem mit geladen wird.
Siehe auch:
Infografik: Bots produzieren mehr Traffic als Menschen
Laut Microsoft wurde nun aber eine Steigerung der Aktivitäten um 254 Prozent über die vergangenen Monate hinweg verzeichnet. Das könnte darauf hindeuten, dass die Betreiber das hauptsächlich für die Durchführung von DDoS-Angriffen vorgesehene Botnetz bald wieder zum Einsatz bringen wollen. Dafür werden nun wohl zusätzliche Systeme eingesammelt, mit denen die Infrastruktur verstärkt werden soll.
Die Malware hinter XorDDoS greift dabei Linux-Server an. Über eine Liste von häufig genutzten Standard-Logins wird versucht, sich über einen SSH-Port in den jeweiligen Rechner einzuwählen und dort den eigentlichen Schadcode zu platzieren. Über eine XOR-basierte Verschlüsselung wird dann Kontakt zu den Kommandosystemen der Betreiber aufgebaut.
Kryptominer wird nachgeliefert
Die steigende Aktivität muss allerdings nicht zwingend bedeuten, dass ein größerer DDoS-Angriff geplant wäre - wofür sich Server mit ihrer meist recht guten Internet-Anbindung natürlich gut eignen. "Wir haben festgestellt, dass Geräte, die zuerst mit XorDDoS infiziert waren, später mit zusätzlicher Malware wie der Tsunami-Backdoor bestückt wurden, die wiederum den XMRig-Kryptominer zum Einsatz bringt", teilte Microsoft mit.Dass sich die Malware selbst so lange halten kann, liegt wahrscheinlich vor allem daran, dass sie sich gut auf den befallenen Systemen verstecken kann. Und auch manuellen Änderungen der Administratoren an der Systemkonfiguration entgeht sie meist recht gut, da sie gleich an mehreren Stellen beim Hochfahren Startpunkte setzt, so dass auch der Verlust eines Triggers zuverlässig dafür sorgt, dass der Schacode trotzdem mit geladen wird.
Siehe auch:
Thema:
Videos zum Thema Sicherheit
-
E-Mail-Sicherheitslücke in Microsoft Office lässt sich einfach abstellen
-
Vorsicht vor Windows Toolbox: Malware kommt unerkannt mit
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Cambridge Analyticas großer Hack - Neuer Trailer zur Netflix-Doku
-
Zum Abschuss freigegeben: iOS-Geräte sind per Funk angreifbar
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Hardware-Firewall:
Weiterführende Links
Neue Nachrichten
- Limitierte Xbox Series X25: Microsoft enthüllt grüne Nostalgie-Konsole
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Blöd gelaufen: Motorola legt Router mit eigener App seit Wochen lahm
- Unsere Milchstraße: 50 Jahre altes Rätsel um Schwarzes Loch gelöst
- Retro-Trend: Das nächste Kult-Spiel der 2000er erhält ein Remaster
- Letzte Chance: Top MwSt.-Deals von Media Markt & Saturn im Überblick
- RTX 3050 Ti: Leak zu nie erschienener GPU zeigt, was hätte sein können
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon