🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux

24 mai 2022 à 18h05
8
DDoS
© DD Images / Shutterstock

Contre XorDdos, Microsoft a les armes qu’il faut : Microsoft Edge et Microsoft Defender Antivirus, principalement.

XorDdos, un botnet qui s’attaque aux machines sous Linux et découvert pour la première fois en 2014, sévit fortement depuis fin 2021. Microsoft indique avoir observé une augmentation de 254 % de son activité au cours des six derniers mois. Inutile de paniquer toutefois, puisque le géant de Redmond a la parade : utiliser son navigateur Edge, entre autres.

La menace...

L’article publié par Microsoft, très qualitatif au demeurant, précise que XorDdos cible les systèmes d'exploitation fondés sur Linux, couramment déployés pour les infrastructures en nuage et les appareils de l'Internet des objets (IoT). Il forme ainsi un réseau de machines zombies susceptibles d’être utilisées pour mener des attaques DDoS (déni de service distribué). Ces attaques sont de plus en plus intensives. Microsoft rappelle celle de 2,4 Tbps perpétrée en août 2021, à laquelle on peut ajouter celle de 3,47 Tbps orchestrée en novembre de la même année. Le réseau de machines zombies de XorDdos ne se limite toutefois pas à ce type d’attaques, il sert aussi à porter des attaques par force brute sur des serveurs Secure Shell (SSH).

Pour ne rien arranger, XorDdos bénéficie de mécanismes d'évasion et de persistance qui lui permettent de rester à la fois furtif et actif. L’article détaille :

Ses capacités d'évasion comprennent la dissimulation des activités du malware, la contournement des mécanismes de détection fondés sur des règles et la recherche de fichiers malveillants fondée sur le hachage ainsi que l'utilisation de techniques antiforensiques pour briser l'analyse reposant sur l'arbre des processus. Nous avons observé lors de campagnes récentes que XorDdos dissimule les activités malveillantes à l'analyse en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux.

Outre les désagréments et les menaces induits par ce type d’attaques, Microsoft rapporte avoir observé que les « appareils d'abord infectés par XorDdos étaient ensuite infectés par d'autres logiciels malveillants tels que la porte dérobée Tsunami, qui déploie ensuite le mineur XMRig ». L’équipe précise qu’elle n’a pas observé XorDdos installer et distribuer directement des programmes secondaires comme Tsunami, mais pense qu’il sert bien à déployer des malwares.

MicrosoftXorddos © Microsoft
Un vecteur d'attaque typique de XorDdos © Microsoft

Les parades...

Dans un premier temps, Microsoft livre le résultat de son analyse de XorDdos afin d’aider les administrateurs à comprendre les mécanismes et à protéger leurs réseaux. Dans un second, l’équipe fait quelques recommandations. Elle en profite pour vanter les solutions Microsoft qui sont, selon elle, capables de protéger les systèmes Linux contre la menace XorDdos.

L’article invite ainsi les utilisateurs Linux à adopter Microsoft Edge ou tout autre navigateur prenant en charge Microsoft Defender SmartScreen.

Il incite également à lutter contre XorDdos avec Microsoft Defender pour point de terminaison Linux, en utilisant notamment la fonctionnalité de découverte d’appareils (mappage des appareils d’un réseau).

Enfin, Microsoft encourage le recours à l’antivirus Microsoft Defender ou au moins à la détection et à la réponse des points de terminaison (PEPT) en mode bloc. Pour les appareils exécutant Microsoft Defender comme antivirus principal, « PEPT en mode bloc fournit une couche supplémentaire de défense en permettant à Microsoft Defender d’effectuer des actions automatiques sur les détections de PEPT comportementales après violation ». Pour ceux dont l’antivirus Microsoft Defender n’est pas le produit antivirus principal, PEPT s’exécute en mode passif et fonctionne en arrière-plan pour corriger les artefacts malveillants détectés.

Source : Microsoft

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
9
Philoctete
Si, comme le graphique le montre, les attaquants entrent par une attaque par force brute sur les serveurs SSH, ça indique deux choses :<br /> Un serveur SSH bien configuré, c’est authentification par clé privée uniquement, changement de ports, et un mécanisme anti brute force de type Fail2Ban, avec ça, honnêtement, je vois pas comment un bot peut entrer… Si des gens se font trouer comme ça, c’est pas Microsoft qui les sauvera, c’est juste de se former 5 minutes sur les techniques de base de sécurité.<br /> Je ne vois pas en quoi un changement de navigateur va protéger un serveur SSH…<br /> Je suis peut-être de mauvaise foi, si quelqu’un peut m’expliquer, je n’ai peut-être pas tout compris…
Jice06
Je crois que pour ssh tu as fait le tour, clair et synthétique, bravo. comme toi je vois pas bien le rapport avec edge… surtout sur des machines headless sans gui
Bombing_Basta
Sacré troll ce miscrosoft
Belgarath
Bof ! Il pouvait toujours essayer le Microsoft.
bmustang
c’est surtout que personne n’y comprend rien ici, niveau trop élevé et qu’il est plus simple de dézinguer le dossier de microsoft
Popoulo
@bmustang : pas donné à tout le monde vu le domaine. Et encore moins à certains.<br /> @Jice06 : De mémoire, Defender ATP de MS (sais plus s’il a le même nom maintenant) n’a pas besoin de GUI. Smartscreen de Edge fait son job pour xorddos sur un poste ou il est installé.<br /> @Philoctete : Fail2Ban vu que tu le cites peut avoir compromis pas mal de serveurs vu la faille qui l’a touché l’an dernier et qui aurait été exploitée massivement.
crazywolf
Dans l’ensemble je suis plutôt d’accord. Mais j’ajouterai que la base c’est de ne pas exposer de service ssh en DMZ. Par contre le changement de port c’est de la poudre de perlinpinpin, c’est de la « sécurité » par obscurité qui n’en n’est pas une.
phri
Faille d’interface chaise clavier.
Voir tous les messages sur le forum

Lectures liées

Quand Google fait la pluie et le beau temps sur le Web avec ses Core Updates
Le moteur Brave Search sort de bêta et vous laisse personnaliser les résultats
Le chiffrement du Cloud MEGA mis à mal par des chercheurs
Google Chrome 103 est disponible, découvrez les nouveautés
Attention, vos extensions Google Chrome permettent de vous traquer en ligne
Vie privée : bientôt des gestionnaires dédiés dans Windows et ChromeOS
Erreur serveur chez Cloudflare : Feedly, Discord et d'autres ne répondent plus
Pourquoi les entreprises ne migreront pas tout de suite vers Windows 11
Microsoft Defender débarque sur Windows, macOS, Android et iOS
Mettez Google Chrome à jour pour patcher ces 4 vulnérabilités importantes
Haut de page