Le mois dernier, Microsoft a indiqué avoir découvert des vulnérabilités qui permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agissait alors de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation Linux par Microsoft.
De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »
XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux, qui sont couramment déployés sur les infrastructures en nuage et les appareils de l'Internet des objets (IoT), prévient Microsoft.
Les attaques DDoS en elles-mêmes peuvent être très problématiques pour de nombreuses raisons, mais ces attaques peuvent également être utilisées comme couverture pour cacher d'autres activités malveillantes, comme le déploiement de logiciels malveillants et l'infiltration des systèmes cible. L'utilisation d'un botnet pour réaliser des attaques DDoS peut potentiellement créer des perturbations importantes, comme l'attaque DDoS de 2,4 Tbps que Microsoft a atténuée en août 2021.
Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles. SSH est l'un des protocoles les plus courants dans les infrastructures informatiques et permet des communications chiffrées sur des réseaux non sécurisés à des fins d'administration de systèmes à distance, ce qui en fait un vecteur intéressant pour les attaquants. Une fois que XorDdos a identifié des informations d'identification SSH valides, il utilise les privilèges root pour exécuter un script qui télécharge et installe XorDdos sur le périphérique cible.
Un vecteur d'attaque typique du logiciel malveillant XorDdos
XorDdos utilise des mécanismes d'évasion et de persistance qui permettent à ses opérations de rester robustes et furtives. Ses capacités d'évasion comprennent l'obscurcissement des activités du malware, l'évitement des mécanismes de détection basés sur des règles et la recherche de fichiers malveillants basée sur le hachage, ainsi que l'utilisation de techniques anti-forensic pour briser l'analyse basée sur l'arbre des processus.
Microsoft dit avoir observé lors des campagnes récentes que XorDdos dissimule les activités malveillantes à l'analyse en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux. XorDdos peut illustrer une autre tendance observée sur diverses plateformes, dans laquelle les logiciels malveillants sont utilisés pour transmettre d'autres menaces dangereuses.
Microsoft dit également avoir constaté que les appareils d'abord infectés par XorDdos étaient ensuite infectés par d'autres logiciels malveillants tels que la porte dérobée qui déploie ensuite le mineur de monnaie XMRig. « Bien que nous n'ayons pas observé XorDdos installer et distribuer directement des charges utiles secondaires comme Tsunami, il est possible que le cheval de Troie soit utilisé comme vecteur pour des activités de suivi », indique Microsoft.
Microsoft Defender for Endpoint protège contre XorDdos en détectant et en corrigeant les attaques modulaires en plusieurs étapes du cheval de Troie tout au long de sa chaîne d'attaque et toute activité de suivi potentielle sur les points d'extrémité. XorDdos se propage principalement par force brute SSH. Il utilise un script shell malveillant pour essayer diverses combinaisons d'identifiants root sur des milliers de serveurs jusqu'à ce qu'il trouve une correspondance sur un périphérique Linux cible. Par conséquent, on peut constater de nombreuses tentatives de connexion infructueuses sur les appareils infectés par le logiciel malveillant :
Échec des tentatives de connexion sur un appareil affecté par XorDdos
Microsoft a déterminé deux des méthodes d'accès initial de XorDdos. La première méthode consiste à copier un fichier ELF malveillant dans le stockage de fichiers temporaires /dev/shm, puis à l'exécuter. Les fichiers écrits sur /dev/shm sont supprimés lors du redémarrage du système, ce qui permet de dissimuler la source de l'infection lors d'une analyse judiciaire.
La deuxième méthode consiste à exécuter un script bash qui effectue les activités suivantes via la ligne de commande :
- Itère les dossiers suivants pour trouver un répertoire accessible en écriture
- /bin
- /home
- /root
- /tmp
- /usr
- /etc
- Si un répertoire inscriptible est trouvé, change le répertoire de travail pour le répertoire inscriptible découvert ;
- Utilise la commande curl pour télécharger la charge utile du fichier ELF depuis l'emplacement distant hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt et enregistre le fichier sous le nom de ygljglkjgfg0 ;
- Change le mode du fichier en "exécutable" ;
- Exécute la charge utile du fichier ELF ;
- Déplace et renomme le binaire Wget pour échapper aux détections basées sur des règles déclenchées par une utilisation malveillante du binaire Wget. Dans ce cas, il renomme le binaire Wget en bon et déplace le fichier vers les emplacements suivants :
- mv /usr/bin/wget /usr/bin/good
- mv /bin/wget /bin/good
- Tente de télécharger une deuxième fois la charge utile du fichier ELF, en utilisant désormais uniquement le bon fichier et non le binaire Wget ;
- Après avoir exécuté le fichier ELF, utilise une technique anti-forensique qui dissimule son activité passée en écrasant le contenu de ceratins fichiers sensibles.
Recommandations de Microsoft pour se défendre contre les menaces de la plateforme Linux
La nature modulaire de XorDdos fournit aux attaquants un cheval de Troie polyvalent capable d'infecter une variété d'architectures de systèmes Linux. Ses attaques par force brute SSH sont une technique relativement simple mais efficace pour obtenir un accès root sur un certain nombre de cibles potentielles.
Capable de voler des données sensibles, d'installer un dispositif rootkit, d'utiliser divers mécanismes d'évasion et de persistance et de réaliser des attaques DDoS, XorDdos permet aux cybercriminels de créer des perturbations potentiellement importantes sur les systèmes cibles. En outre, XorDdos peut être utilisé pour introduire d'autres menaces dangereuses ou fournir un vecteur pour des activités de suivi.
« XorDdos et d'autres menaces visant les dispositifs Linux soulignent combien il est crucial de disposer de solutions de sécurité dotées de capacités complètes et d'une visibilité totale couvrant de nombreuses distributions de systèmes d'exploitation Linux », déclare Microsoft. « Microsoft Defender for Endpoint offre une telle visibilité et une telle protection pour contrer ces menaces émergentes grâce à ses fonctionnalités antimalware et de détection et réponse aux points d'accès de nouvelle génération (EDR) », poursuit Microsoft.
Selon Microsoft, en s'appuyant sur les renseignements tirés des données intégrées sur les menaces, y compris l'heuristique client et cloud, les modèles d'apprentissage automatique, l'analyse de la mémoire et la surveillance du comportement, Microsoft Defender for Endpoint peut détecter et remédier à XorDdos et à ses attaques modulaires en plusieurs étapes.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?
« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?
« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?
Voir aussi :
Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut
Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs
Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques
Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants