Linux botnet uočen kako pokreće razoran DDoS napad
Napadači koriste botnet-e sastavljene od Linux računara da pokrenu razorne DDoS napade. Napadači su u mogučnosti da dnevno napadnu i po 20 različitih meta.
Linux računari u ovom botnetu su zaraženi XOR DDoS trojancem koji je otkriven 2014. godine.
XOR DDoS trojanaca je teško otkriti, jer mjenja svoju instalaciju u zavisnosti od verzije korisnikovog operativnog sistema.
Botnet koristi SYN flooding i DNS flooding napade.
SYN se koristi prilikom uspostavljanja TCP veze prilikom trostrukog pozdrava (three-way handshake).
Normalan tok je :
- Klijent pošalje SYN
- Server pošalje SYN-ACK i očekuje ACK
- Klijent pošalje ACK
Nakon toga uspostavljena je veza.
SYN flooding se odnosi na slanje veliko broja SYN poruka bez da se odgovori na SYN-ACK kako bi se meti oduzeli računarski resursi i izazvao DoS napad.
Botnet ima mogučnost da pokrene napad kojim metu preoptereti sa impresivnih 179Gbps podataka.
Bitno je napomenuti da se XOR DDoS virus ne širi iskorišatavanjem ranjivosti u sistemu već bruteforce napadima na kredencijale korisnika.
Virus se može uočiti posmatranjem mrežnog saobraćaja, jer pokušava da komunicira sa C2(Command and Control) serverom.
Izvor:www.scmagazine.com
