Açıklama

XorDDoS adlı kötü amaçlı yazılımın yeni sürümünü ve gelişmiş komuta-kontrol (C2) altyapısını ortaya çıkardı. Bu zararlı yazılım, özellikle Linux sistemlerini hedefleyerek dağıtık hizmet reddi (DDoS) saldırılarında kullanılmak üzere botnet ağı oluşturuyor. “VIP versiyon” olarak tanımlanan yeni kontrol paneli ve merkezi kontrol sistemi, saldırıların daha organize ve yaygın hale geldiğini gösteriyor.

Teknik Detaylar

• Zararlı Yazılım: XorDDoS
• Hedef Sistemler: Linux tabanlı sunucular, özellikle Docker sunucuları
• Yayılma Yöntemi: SSH brute-force saldırıları ile root erişimi elde edilerek zararlı yazılım kuruluyor.
• Kalıcılık (Persistence):
• /etc/init.d/ altında init script
• cron job entry
• Yapılandırma Şifreleme: XOR şifreleme (anahtar: BB2FA36AAA9541F0)
• C2 Sunucusu Bağlantısı: Şifre çözülmüş URL/IP listesi üzerinden iletişim kuruluyor.
• Yüklenen Yapı: ELF formatında çalıştırılabilir dosya, sistemde root ayrıcalıklarıyla aktif hale geliyor.
• Kontrol Altyapısı: Merkezi kontrol sunucusu, alt kontrolörler ve VIP sürüm kontrol paneli
• Kullanılan Diller: Basitleştirilmiş Çince arayüz ve talimatlar

Etki

• Botnet Ağı: Hedef sistemler “zombi” botlara dönüştürülerek DDoS saldırılarına yönlendiriliyor.
• Yüksek Gizlilik: Gelişmiş şifreleme ve anti-kick modülleri ile tespit edilmesi zorlaştırılıyor.
• Gelişmiş Komuta Kontrol: Yeni “central controller” altyapısı, birden çok XorDDoS alt kontrol panelini eş zamanlı yönetebiliyor.
• Küresel Yayılım: XorDDoS dünya genelinde birçok ülkeyi hedef aldı:
  ABD, İspanya, Tayvan, Kanada, Japonya, Brezilya, Paraguay, Arjantin, Birleşik Krallık, Hollanda, İtalya, Ukrayna, Almanya, Tayland, Çin, Hindistan, İsrail, Venezuela, İsviçre, Singapur, Finlandiya, Avustralya, Suudi Arabistan, Fransa, Türkiye, BAE, Güney Kore.

Zafiyetin Kodları / Fonksiyonları

• Xor Key Kullanımı: BB2FA36AAA9541F0
• Komut Bağlayıcı (Controller Binder): DLL enjekte edilerek sub-controller’lara merkezi yönetim sağlanıyor.
• VIP Builder Özellikleri:
• 1024 paketlik DDoS kapasitesi
• Gelişmiş kaynak yönetimi
• Ağ duvarı aşım yeteneği (wall-penetration)

Öneriler ve Çözüm Önerileri

1. SSH Güvenliği: SSH erişimlerini sınırlandırın, root oturumlarını devre dışı bırakın ve 2FA kullanın.
2. Güncellemeler: Sistemlerinizi ve yazılımlarınızı düzenli olarak güncelleyerek bilinen zafiyetleri kapatın.
3. Güvenlik Duvarları: Gelen ve giden trafiği izleyerek şüpheli aktiviteleri tespit edin ve engelleyin.
4. Ağ İzleme: XOR şifreli trafik veya DDoS paternleri için IDS/IPS sistemleri konumlandırın.
5. IOC Taraması: C2 IP’lerini ve XOR yapılandırmalarını tespit eden özel kurallar geliştirin.
6. Eğitim: Sistem yöneticilerini ve kullanıcıları, SSH güvenliği ve sosyal mühendislik saldırıları konusunda eğitin.

Sonuç

XorDDoS’un yeni VIP sürümü ve gelişmiş merkezi kontrol altyapısı, küresel ölçekte ciddi bir tehdit oluşturmaktadır. Özellikle Linux tabanlı sistemler ve Docker sunucuları hedef alınmaktadır. Bu nedenle, sistem yöneticilerinin ve güvenlik uzmanlarının yukarıda belirtilen önlemleri alarak bu tehdide karşı hazırlıklı olmaları önemlidir.

‍