近期，微軟表示在過去六個月中，一種用于入侵Linux設備并構建DDoS僵尸網絡的隱秘模塊化惡意軟件的活動量大幅增加了254%。該惡意軟件從2014年開始活躍，也被稱為XorDDoS或XOR DDoS，因為它在與命令和控制(C2)服務器通信時使用基于XOR的加密，并被用于發起分布式拒絕服務(DDoS)攻擊。正如該公司透露的那樣，僵尸網絡的成功可能是由于其廣泛使用各種規避和持久性策略，使其能夠保持隱秘且難以清除。

微軟365Defender研究團隊表示，它的規避能力包括混淆惡意軟件的活動、規避基于規則的檢測機制和基于哈希的惡意文件查找，以及使用反取證技術來破壞基于進程樹的分析。“我們在最近的活動中觀察到，XorDdos通過用空字節覆蓋敏感文件來隱藏惡意活動以防止分析。”

XorDDoS 以針對多種Linux系統架構而聞名，從ARM(物聯網)到x64(服務器)，并在 SSH 蠻力攻擊中破壞易受攻擊的架構。為了傳播到更多設備，它使用一個shell腳本，該腳本將嘗試使用各種密碼以 root 身份登錄數以千計的互聯網公開系統，直到最終找到匹配項。

除了發起DDoS攻擊外，惡意軟件的操作者還使用XorDDoS僵尸網絡安裝rootkit，維護對被黑設備的訪問，并很可能釋放額外的惡意負載。微軟補充說:“我們發現，最先感染XorDdos的設備后來又被其他惡意軟件感染，比如海嘯后門，它還進一步部署了XMRig幣挖礦機。雖然我們沒有觀察到 XorDdos 直接安裝和分發像海嘯這樣的二級有效載荷，但木馬有可能被用作后續活動的載體。”

微軟自12月以來檢測到的 XorDDoS 活動的巨大增長與網絡安全公司 CrowdStrike 的一份報告一致，該報告稱Linux 惡意軟件在2021年與上一年相比增長了 35% 。

XorDDoS、Mirai和Mozi是最流行的攻擊種類，占2021年觀察到的所有針對 Linux 設備的惡意軟件攻擊的 22%。在這三者中，CrowdStrike 表示 XorDDoS 同比顯著增長了 123%，而 Mozi 的活動呈爆炸式增長，去年全年在野檢測到的樣本數量增加了 10 倍。Intezer 2021 年 2月的一份報告顯示，與2019年相比，2020年Linux惡意軟件種類增加了約 40%。

參考來源：https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/