Botnet XorDdos: Mối đe dọa DDoS và chiến thuật phòng chống

XorDdos là phần mềm độc hại Trojan Linux có khả năng rootkit (một bộ công cụ phần mềm cho phép hacker quay lại xâm nhập máy tính của người dùng mà không bị phát hiện). Nó được sử dụng để khởi chạy các cuộc tấn công DDoS botnet quy mô lớn. Tên của nó bắt nguồn từ việc sử dụng nhiều mã hóa XOR trong cả phần mềm độc hại và giao tiếp mạng với C & Cs. XorDdos thường được xây dựng trên nhiều nền tảng Linux như ARM, x86 và x64.

XorDdos có khả năng tự động đoán mật khẩu trên hàng nghìn máy chủ Linux để tìm thông tin đăng nhập quyền quản trị vào các máy chủ với Secure Shell (SSH). Trong đó, SSH là một giao thức truyền thông mạng được sử dụng để quản trị hệ thống từ xa.

Theo Crowdstrike, một công ty công nghệ an ninh mạng của Mỹ có trụ sở tại Austin, Texas cũng đã báo cáo về sự tăng trưởng của XorDDoS. Họ xác định đây là một trong những phần mềm độc hại dựa trên nền tảng của Linux, chúng hoạt động mạnh nhất vào năm 2021.

Phần mềm độc hại XorDdos đã phát triển mạnh mẽ nhờ sự tăng trưởng của các thiết bị Internet of Things (IoT) và tạo thành mạng Botnet XorDdos khổng lồ.

XorDdos chủ yếu chạy trên các biến thể của Linux, và nhắm mục tiêu đến các cụm Docker được định cấu hình sai trên đám mây (Cloud). Trong đó, Docker là một dự án mã nguồn mở giúp tự động triển khai các ứng dụng Linux và Windows vào trong các container ảo hóa.

Ngoài XorDdos, còn có các nhóm phần mềm độc hại hàng đầu khác cũng nhắm mục tiêu đến các thiết bị Internet Vạn Vật (IoT - Internet of Things) như Mirai và Mozi.

Theo các số liệu được phân tích từ Microsoft, mạng botnet XorDDoS đã tăng 254% chỉ trong 6 tháng vừa qua. Botnet này đã lây nhiễm vào các máy tính sử dụng hệ điều hành Linux suốt 8 năm qua. Chúng chủ yếu được các hacker sử dụng để tham gia vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Theo cảnh báo của Microsoft, các doanh nghiệp cần tăng cường bảo vệ máy chủ Linux của mình khỏi các tấn công của Botnet XorDdos. Botnet này chuyên thực hiện các tấn công kiểu quét internet để tìm ra những máy chủ SSH có mật khẩu yếu để tấn công. Sau khi hacker có được thông tin đăng nhập vào các máy chủ SSH, mạng botnet XorDdos sẽ sử dụng quyền quản trị gốc (root) để tự cài đặt phần mềm độc hại trên các thiết bị Linux. Botnet này sẽ sử dụng mã hóa dựa trên XOR để điều khiển cơ sở hạ tầng (các thiết bị Linux) theo yêu cầu của hacker.

XorDdos có thể dễ dàng vượt qua các kỹ thuật phát hiện thông thường. Trong một báo cáo gần đây, Microsoft cũng đã phát hiện mã độc này đã thay thế các dữ liệu quan trọng của doanh nghiệp bằng một tập dữ liệu rỗng.

Dung lượng của XorDdos gồm tệp ELF định dạng Linux 32-bit với tệp nhị phân mô-đun được viết bằng C/ C ++. XorDdos đã sử dụng một quy trình daemon chạy ở chế độ nền. Chúng nằm ngoài sự kiểm soát của người dùng và chỉ ngừngngưng chạy khi các thiết bị máy tính Linux tắt.

Phần mềm độc hại XorDdos có thể tự động chạy khi hệ thống được khởi động trở lại nhờ một số tập lệnh đặc biệt được cài đặt bên trong. Botnet XorDdoS thường được hacker sử dụng để thực hiện nhiều kỹ thuật tấn công DDoS như: tấn công lũ lụt SYN, tấn công DNS và ACK.

Để chống lại các tấn công DDoS botnet lớn trên thế giới cần có sự tham gia của mạng lưới CDN (Content Delivery Network) hàng đầu. Sức mạnh của CDN từ lâu đã được các doanh nghiệp ứng dụng để giảm tải sự ảnh hưởng của các cuộc tấn công DDoS đến hàng Terabyte mỗi giây (Tbps - Terabytes Per Second).

Trong đó, VNIS (VNETWORK Internet Security) là nền tảng (platform) bảo mật website ứng dụng công nghệ Multi CDN hàng đầu hiện nay. VNIS được Gartner xác nhận là nhà cung cấp CDN đại diện trên thị trường.

Mạng lưới Multi CDN của VNIS được kết hợp từ nhiều nhà cung cấp CDN hàng đầu trên toàn cầu, trong đó có hệ thống CDN lớn nhất Việt Nam - VNCDN. Đây là hệ thống CDN có hạ tầng Server được đặt ở khắp các trung tâm dữ liệu (Data Center) đạt chuẩn Tier III quốc tế. Hệ thống này có hơn 280 PoPs đặt tại 32 quốc gia cùng băng thông trong nước hơn 3Tbps, chịu tải đến 6 tỷ yêu cầu (request) cùng lúc.

Sức mạnh của Multi CDN trong platform VNIS có khả năng bảo vệ website của các doanh nghiệp khỏi các cuộc tấn công DDoS vào Layer 3 (tầng mạng), Layer 4 (tầng giao vận).

Ngoài Multi CDN, VNIS còn có hệ thống nhiều tường lửa ứng dụng web (Multi WAF - Web Application Firewall) cho phép chặn lọc các requests dựa trên tiêu chí như tiêu đề, cookie, IP của người dùng (users). Hệ thống này cho phép bảo vệ Layer 7 (tầng ứng dụng Web) khỏi các tấn công thuộc danh sách 10 lỗ hổng bảo mật của OWASP (top 10 OWASP) và các hình thức tấn công XSS, tiêm nhiễm mã độc SQL (SQL Injection), Generic, Global Agents, HTTP Protocol…

Hệ thống có chức năng tự động nhận diện các request là bot hay người dùng thực, để từ đó đưa ra các quyết định chặn (block) đúng, tăng hiệu quả chống DDoS cho máy chủ gốc mà không làm ảnh hưởng đến các hoạt động bình thường của hệ thống máy chủ Web.

Ngoài khả năng bảo mật Website thông minh bằng công nghệ trí tuệ nhân tạo AI (Artificial intelligence), VNIS còn được tăng cường khả năng bảo mật toàn diện hơn khi kết hợp với hệ thống trung tâm giám sát an ninh mạng SOC (Security Operation Center) ở nhiều quốc gia như Đài Loan, Hồng Kông, Việt Nam,...

Hiện VNIS được tin dùng bởi hàng ngàn khách hàng trong và ngoài nước ở các lĩnh vực như Giáo Dục, Y Tế, Giải trí, Báo chí, Thương mại, Logistics, Tài chính, Công nghệ thông tin,...

Để được trải nghiệm thử dịch vụ chống DDoS botnet, các doanh nghiệp có thể để lại thông tin liên hệ bên dưới hoặc gọi ngay vào hotline: (028) 7306 8789 của chúng tôi.