XorDDoS

¿Qué es?

XorDDoS, también conocido como Xor DDoS y Xor.DDoS, es una botnet de tipo DDoS con características de troyano, que se enfoca en comprometer dispositivos Linux para mantener su control y lanzar ataques de denegación de servicio coordinados. Además, está compuesta por dispositivos infectados con su malware homónimo y proporciona a los atacantes una infraestructura de mando y control (C2) con puertas traseras para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Esta botnet tiene capacidad para realizar las siguientes acciones:

Lanza ataques distribuidos de denegación de servicio (DDoS) a gran escala desde los bots comprometidos.
Toma el control de los dispositivos infectados para ejecutar órdenes remotas de los servidores de mando y control (C2) y mantener la persistencia.
Usa cifrados XOR en sus comunicaciones entre los servidores de mando y control (C2) y sus bots y soporta múltiples arquitecturas (x86, x64, ARM), lo que facilita su propagación en servidores, nubes y dispositivos IoT.
Recopila y roba información de los sistemas (versión del SO, CPU, memoria, etc.) para perfilar los bots y coordinar ataques.
Se oculta y evade la detección mediante técnicas como rootkit, spoofing de procesos, múltiples copias en rutas del sistema y/o truncado de ficheros sensibles.
Se actualiza y descarga cargas adicionales para facilitar otras infecciones y mejorar sus capacidades de ataque en actividades posteriores.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Linux (servidores, dispositivos IoT y contenedores Docker).

¿Cómo me infecta?

Esta botnet se distribuye a través de ataques de fuerza bruta por SSH contra equipos expuestos para obtener credenciales y desplegar su binario, a través de la explotación de servicios expuestos sin proteger y a través de la explotación de vulnerabilidades detectadas mediante escaneo y sondeo continuo por toda la red.