IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft tire la sonnette d'alarme sur un botnet Linux,
Le fabriquant de Windows dit avoir observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos

Le , par Bruno

243PARTAGES

7  1 
Microsoft a tiré la sonnette d'alarme sur un logiciel malveillant DDoS appelé XorDdos qui cible les points d'extrémité et les serveurs Linux. « Au cours des six derniers mois, nous avons observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos », déclare Microsoft. Encore une faille qui vient démontrer qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows ?

Le mois dernier, Microsoft a indiqué avoir découvert des vulnérabilités qui permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agissait alors de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation Linux par Microsoft.


De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »

XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux, qui sont couramment déployés sur les infrastructures en nuage et les appareils de l'Internet des objets (IoT), prévient Microsoft.

Les attaques DDoS en elles-mêmes peuvent être très problématiques pour de nombreuses raisons, mais ces attaques peuvent également être utilisées comme couverture pour cacher d'autres activités malveillantes, comme le déploiement de logiciels malveillants et l'infiltration des systèmes cible. L'utilisation d'un botnet pour réaliser des attaques DDoS peut potentiellement créer des perturbations importantes, comme l'attaque DDoS de 2,4 Tbps que Microsoft a atténuée en août 2021.

Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles. SSH est l'un des protocoles les plus courants dans les infrastructures informatiques et permet des communications chiffrées sur des réseaux non sécurisés à des fins d'administration de systèmes à distance, ce qui en fait un vecteur intéressant pour les attaquants. Une fois que XorDdos a identifié des informations d'identification SSH valides, il utilise les privilèges root pour exécuter un script qui télécharge et installe XorDdos sur le périphérique cible.

Un vecteur d'attaque typique du logiciel malveillant XorDdos


XorDdos utilise des mécanismes d'évasion et de persistance qui permettent à ses opérations de rester robustes et furtives. Ses capacités d'évasion comprennent l'obscurcissement des activités du malware, l'évitement des mécanismes de détection basés sur des règles et la recherche de fichiers malveillants basée sur le hachage, ainsi que l'utilisation de techniques anti-forensic pour briser l'analyse basée sur l'arbre des processus.

Microsoft dit avoir observé lors des campagnes récentes que XorDdos dissimule les activités malveillantes à l'analyse en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux. XorDdos peut illustrer une autre tendance observée sur diverses plateformes, dans laquelle les logiciels malveillants sont utilisés pour transmettre d'autres menaces dangereuses.

Microsoft dit également avoir constaté que les appareils d'abord infectés par XorDdos étaient ensuite infectés par d'autres logiciels malveillants tels que la porte dérobée qui déploie ensuite le mineur de monnaie XMRig. « Bien que nous n'ayons pas observé XorDdos installer et distribuer directement des charges utiles secondaires comme Tsunami, il est possible que le cheval de Troie soit utilisé comme vecteur pour des activités de suivi », indique Microsoft.

Microsoft Defender for Endpoint protège contre XorDdos en détectant et en corrigeant les attaques modulaires en plusieurs étapes du cheval de Troie tout au long de sa chaîne d'attaque et toute activité de suivi potentielle sur les points d'extrémité. XorDdos se propage principalement par force brute SSH. Il utilise un script shell malveillant pour essayer diverses combinaisons d'identifiants root sur des milliers de serveurs jusqu'à ce qu'il trouve une correspondance sur un périphérique Linux cible. Par conséquent, on peut constater de nombreuses tentatives de connexion infructueuses sur les appareils infectés par le logiciel malveillant :

Échec des tentatives de connexion sur un appareil affecté par XorDdos


Microsoft a déterminé deux des méthodes d'accès initial de XorDdos. La première méthode consiste à copier un fichier ELF malveillant dans le stockage de fichiers temporaires /dev/shm, puis à l'exécuter. Les fichiers écrits sur /dev/shm sont supprimés lors du redémarrage du système, ce qui permet de dissimuler la source de l'infection lors d'une analyse judiciaire.

La deuxième méthode consiste à exécuter un script bash qui effectue les activités suivantes via la ligne de commande :

  1. Itère les dossiers suivants pour trouver un répertoire accessible en écriture
    • /bin
    • /home
    • /root
    • /tmp
    • /usr
    • /etc

  2. Si un répertoire inscriptible est trouvé, change le répertoire de travail pour le répertoire inscriptible découvert ;
  3. Utilise la commande curl pour télécharger la charge utile du fichier ELF depuis l'emplacement distant hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt et enregistre le fichier sous le nom de ygljglkjgfg0 ;
  4. Change le mode du fichier en "exécutable" ;
  5. Exécute la charge utile du fichier ELF ;
  6. Déplace et renomme le binaire Wget pour échapper aux détections basées sur des règles déclenchées par une utilisation malveillante du binaire Wget. Dans ce cas, il renomme le binaire Wget en bon et déplace le fichier vers les emplacements suivants :
    • mv /usr/bin/wget /usr/bin/good
    • mv /bin/wget /bin/good

  7. Tente de télécharger une deuxième fois la charge utile du fichier ELF, en utilisant désormais uniquement le bon fichier et non le binaire Wget ;
  8. Après avoir exécuté le fichier ELF, utilise une technique anti-forensique qui dissimule son activité passée en écrasant le contenu de ceratins fichiers sensibles.

Recommandations de Microsoft pour se défendre contre les menaces de la plateforme Linux

La nature modulaire de XorDdos fournit aux attaquants un cheval de Troie polyvalent capable d'infecter une variété d'architectures de systèmes Linux. Ses attaques par force brute SSH sont une technique relativement simple mais efficace pour obtenir un accès root sur un certain nombre de cibles potentielles.

Capable de voler des données sensibles, d'installer un dispositif rootkit, d'utiliser divers mécanismes d'évasion et de persistance et de réaliser des attaques DDoS, XorDdos permet aux cybercriminels de créer des perturbations potentiellement importantes sur les systèmes cibles. En outre, XorDdos peut être utilisé pour introduire d'autres menaces dangereuses ou fournir un vecteur pour des activités de suivi.

« XorDdos et d'autres menaces visant les dispositifs Linux soulignent combien il est crucial de disposer de solutions de sécurité dotées de capacités complètes et d'une visibilité totale couvrant de nombreuses distributions de systèmes d'exploitation Linux », déclare Microsoft. « Microsoft Defender for Endpoint offre une telle visibilité et une telle protection pour contrer ces menaces émergentes grâce à ses fonctionnalités antimalware et de détection et réponse aux points d'accès de nouvelle génération (EDR) », poursuit Microsoft.

Selon Microsoft, en s'appuyant sur les renseignements tirés des données intégrées sur les menaces, y compris l'heuristique client et cloud, les modèles d'apprentissage automatique, l'analyse de la mémoire et la surveillance du comportement, Microsoft Defender for Endpoint peut détecter et remédier à XorDdos et à ses attaques modulaires en plusieurs étapes.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?

« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?

« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?

Voir aussi :

Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut

Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs

Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de diabolos29
Membre expérimenté https://www.developpez.com
Le 24/05/2022 à 7:47
C'est plus une succession d'erreur d'administration (accès root autorisé, accès ssh par mdp, mdp suffisamment faible pour être trouvé en brute force) qu'une réelle faille...
14  1 
Avatar de bmayesky
Membre du Club https://www.developpez.com
Le 24/05/2022 à 21:39
C'est marrant, sur tout les systèmes Linux que j'utilise, il faut agir pour désactiver l'interdiction par défaut de connexion root avant de pouvoir s'y connecter avec ssh. Les ignorants sont donc protégés par défaut de cette menace. Les administrateurs un peu compétent laissent ce blocage et le sécurisent en limitant l'accès par une clé RSA autrement (et aucun risque qu'une clé ssh soit cassée par force brute). Bref, la quasi totalité des machines Linux est invulnérable à cette menace.

Il reste comme cible de ce botnet les administrateurs Linux incompétents et imprudents. Ça fait pas beaucoup. Vraiment. D'ailleurs je me pose la question du nombre de machines infectées parce que 254% c'est beaucoup (bien qu'en 6 mois) mais sur combien ? Parce que 254% sur 10 ordinateurs ça fait 2-3 machines et en 6 mois c'est pas terrible.

L'annonce de Microsoft reste comme beaucoup en la matière une publicité pour Microsoft basée sur une démonstration d'une vulnérabilité qui reste très théorique puisque, étant absente par défaut, elle se base sur la mauvaise administration d'une machine Linux.
12  0 
Avatar de gallit
Membre à l'essai https://www.developpez.com
Le 24/05/2022 à 10:34
J'ai quand même l'impression qu'ils essaient de refourguer un peu leur Defender pour Linux.
13  2 
Avatar de Madmac
Membre extrêmement actif https://www.developpez.com
Le 24/05/2022 à 19:16
« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?
Les logiciels malveillants ont surtout tendance à cibler des OS qui sont populaires ...
9  0 
Avatar de Shepard
Membre expérimenté https://www.developpez.com
Le 24/05/2022 à 7:13
Encore une faille qui vient démontrer qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows ?
Citation Envoyé par tabouret Voir le message
Ben voyons

Allez petit tour d'horizon des quelques mois passés:

Linux: 2 failles majeures, CVSS 7.8 tout de même une concernant sudo (buffer overflow très difficilement exploitable), une concernant polkit. On reste sur de l'escalade de privilège, corrigées en quelques jours.

Windows: une véritable dinguerie il ne se passe pas 3 mois sans qu'une faille de CVSS > 9 ne fasse son apparition.
Zerologon CVSS 10 (compromission complète d'un AD à partir d'un flux réseau non authentifié).
Exchange
Printnightmare CVSS 8.8 ils ont été infoutus de corriger la faille pendant plusieurs mois, ils préconisaient de désactiver le spooler d'impression (ha ouais... lol)
Janvier http.sys CVSS 9.8...
Et maintenant la faille du moment: Les RPC (donc SMB) CVSS 9.8

C'est simple il n'y a pas un service dans Windows qui ne soit pas bugué à la mort à tel point qu'avec quelques hacks sous Python tu puisses faire des RCE avec des droits systèmes.

Franchement...Linux est intrinsèquement plus sécurisé que Windows n'importe quel ingénieur sécurité le sait.


De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »
Ce n'est pas sourcé :-(

Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles.
Les attaques par force brute ne fonctionnent pas avec un mot de passe correct ... Le botnet est installé sur des machines Linux exclusivement ? :-O

Un DDoS fonctionne sur n'importe quel OS, d'ailleurs s'agit-il vraiment d'une faille ?
7  0 
Avatar de smarties
Membre émérite https://www.developpez.com
Le 24/05/2022 à 11:08
Personnellement, je n'ai jamais eu de souci sur les machines Linux (bureau et serveur).

Je respecte cependant quelques règles quand je les installe :
- utilisateur dédié pour le rôle root sinon tout le monde est utilisateur normal
- installation de tous les logiciels que l'utilisateur a besoin
- changement du port SSH et depuis peu (depuis que j'ai commencé à utiliser Ansible en fait) je commence à faire de l'identification avec clé
- fail2ban et j'ai commencé à regardé Crowdsec
- exposition des uniques ports nécessaire à l'extérieur
6  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 24/05/2022 à 20:17
Quel est votre avis sur le sujet ?
« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?
Madmac l'a très bien résumé >> ce qui est de plus en plus ciblé est ce qui est de plus en plus populaire ...j'ajouterais à la popularité que Windows intègre dorénavant bien plus d'environnement linux dans /avec ses solutions (cloud, WSL...), en plus de se transformer petit à petit en distro linux. Il est donc naturel que M$ audit le code avant de s'appuyer aveuglément dessus.
Il est aussi naturel que la pénétration des environnement linux ayant évolué dans le marché, le ciblage évolue également.

Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?
1) les méthodes s'appuient sur la possibilité de copier, modifier, puis exécuter un fichier d'une source inconnue (dont la fiabilité est inconnue).
2) permet à cette même source d'aller modifier les accès et chmod de certains fichiers sensibles (à risque)
C'est à dire deux comportements que l'on s'attend à ne pas rencontrer dans une distro linux sans modifications.

« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?
Oui et non >> tout dépends de la distro que l'on choisi et des réglages que l'on applique.
En "out of the box" les distro linux sont généralement plus sécurisées, ne serait-ce que parce que les fichiers ne sont pas exécutables par défaut (pas tous).
Tout le problème réside dans les concessions opérées par la distro pour augmenter la "facilité d'usage" en dépit de la "dureté de la sécurité".
Il suffit de voir les contournements root possible sur une Debian clé en main pour opérer des commandes root sans avoir à taper le mot de passe root...
Aucun OS n'est parfait. La question c'est quelles concessions sont acceptables, lesquelles ne le sont pas ? >> A quelle insécurité un néophyte peut-il être exposé à son insu ?

Si l'on est capable de répondre franchement à cette question, les changements à faire sur les paramètres "out of the box" sont assez évidents.
En découlera une certaine difficulté d'usage, qui sera la contrepartie à payer pour la sécurité apporté (sécurisé = complexifié, c'est indissociable).
C'est par exemple (pour simplifier) la différence entre Debian, et un de ses fork : Kali Linux.
6  0 
Avatar de Escapetiger
Expert éminent https://www.developpez.com
Le 24/05/2022 à 10:14
[Aparté]

Citation Envoyé par yahiko Voir le message
La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.
Source de la confusion

D'où vient la confusion entre pingouin et manchot ? Tout d'abord, il peut s'agir d'un problème de traduction. Ainsi, en anglais, manchot se traduit par penguin, alors que pingouin se traduit par auk. En allemand, en russe et en espagnol, les deux espèces se traduisent avec le même mot qui ressemble à "pingouin" (pinguin, pingvin et pingüino). D'autre part, il s'agit d'une ressemblance physique entre le grand pingouin, espèce éteinte au XIXe siècle, et le manchot.

En ce qui concerne la mascotte de Linux, le fait que Linus Torvalds soit finlandais (donc près de l'océan arctique) peut faire penser à un pingouin. Or, Torvalds a choisi Tux notamment parce qu'il avait été mordu par un manchot lors de la visite d'un zoo en Australie.
Source : Quelle est la difference entre un pingouin et un manchot — Lea Linux

[/Aparté]
3  0 
Avatar de selmanjo
Membre régulier https://www.developpez.com
Le 27/05/2022 à 4:36
J'ai toutefois l'impression qu'ils vantent leur logiciel antivirus !, un bon administrateur Linux met beaucoup plus de restrictions sur le système. En même temps si le parfeu limite la majorité des accès à la machine, je me demande comment Microsoft peut trouver des failles alors que c'est peut-être une erreur Humaine ? Bref, ... Bavardages...
2  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 27/05/2022 à 10:24
Citation Envoyé par bmayesky Voir le message
C'est marrant, sur tout les systèmes Linux que j'utilise, il faut agir pour désactiver l'interdiction par défaut de connexion root avant de pouvoir s'y connecter avec SSH. Les ignorants sont donc protégés par défaut de cette menace.
La faille désignée par M$ ne décrit pas une connexion root en SSH, mais une connexion SSH classique dans laquelle des accès fichiers vulnérables sont repérés pour une escalade de privilège et l'installation de failles supplémentaires.

diabolos29 se rapproche un peu plus de la réalité : " C'est plus une succession d'erreur d'administration ( (...) accès ssh par mdp, mdp suffisamment faible pour être trouvé en brute force) qu'une réelle faille... "

Toujours utile que même si une personne non autorisé accédait à la machine, elle ne devrait pas pouvoir agir de la sorte sur une distro sécurisé par défaut. Du moins, on ne est en droit attendre que le comportement par défaut ne le permette pas.
D'où l'importance de l'administration pour renforcer la sécurité.
0  0