Linux-Botnetz XOR DDos attackiert mit bis zu 150 Gbps

02.10.2015

Ein XOR DDos getaufter Trojaner hat ein Botnetz aus Linux-Systemen errichtet, das inzwischen Geschwindigkeiten von bis zu 150 Gbps erreicht.

Wie Cloud-Anbieter Akamai Technologies berichtet, verfolgt sein Security Intelligence Response Team den auf Linux-Systemen spezialisierten Trojaner namens XOR DdoS, der erstmals im September 1014 vom „Malware must die“-Team entdeckt wurde. Über die Malware formen die Angreifer seitdem ein Botnetz für Distributed Denial of Service (DdoS)-Attacken, dessen Bandbreite sich mittlerweile auf bis zu über 150 Gibabit pro Sekunde beschleunigt hat. So habe Akamai beispielsweise Ende August zwei DDos-Angriffe entschärft, die Geschwindigkeiten von 50 bzw. fast 100 Ggbs erreichten.

 

Wie Akamai betont, greift das Botnetz bis zu 20 Ziele pro Tag an, von denen 90 Prozent in Asien liegen, und zielt es in erster Linie auf den Gaming-Sektor, gefolgt von Bildungseinrichtungen. Für seine Malware-Einschleusung nutzt XOR Ddos keine spezifische Verwundbarkeiten der Linux-Systeme aus, sondern dringt über Secure Shell-Dienste (SSH), die aufgrund unsicherer Passwörter anfällig für Brute-Force-Angriffe sind, ein. Nachdem dann die Zugangsdaten erstmals abgegriffen worden sind, nutzen die Angreifer Root-Rechte, um ein Bash-Shell-Skript auszuführen, das den maliziösen Code herunterlädt und ausführt.

 

Wie Akamai warnt, sieht der Cloud-Anbieter in der XOR DDoS-Malware einen Trend, vor dem sich Anwender schützen sollten: Angreifer zielen auf unzureichend konfigurierte und gewartete Linux-Systeme, um sie für DDoS-Attacken und das Bilden von Botnetzen zu missbrauchen. Nachdem Linux lange Zeit als die sicherere Alternative zu Windows gegolten habe, ist mittlerweile parallel zu seiner anwachsenden Ausbreitung auch seine Attraktivität für Angreifer gestiegen. Da Angreifer ihre entsprechenden Taktiken und Werkzeuge weiterentwickeln würden, rät Akamai Sicherheits-Verantwortlichen dazu, ihre Linux-Systeme dementsprechend weiter abzuhärten.

Eine detaillierte Analyse über XOR DdoS und seine Besitigung ist als PDF downloadbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019