Akamai的专家们发现Linux XOR DDoS僵尸网络，它是一个恶意的网络基础设施，可用于对几十个目标发起强有力的DDoS攻击。此外，它主要针对游戏领域和教育行业的网站。

　　XOR DDoS介绍

安全人员已经发现了一种Linux僵尸网络，它被称为XOR DDoS或Xor.DDoS僵尸网络。此外，它主要针对游戏和教育网站，能够对其发起强有力的DDoS攻击，可以达到每秒1500亿字节的恶意流量。根据内容分发网络Akamai科技发布的一份报告，XOR DDoS僵尸网络每天至少瞄准20个网站，将近90%的目标站点位于亚洲。报告中声称：

“Akamai的安全情报反应小组(SIRT)正在追踪XOR DDoS，这是一个木马恶意软件，攻击者使用它劫持Linux机器并将其加入到僵尸网络，以发起分布式拒绝服务攻击(DDoS)活动。迄今为止，XOR DDoS僵尸网络的DDoS攻击带宽从数十亿字节每秒(Gbps)到150+Gbps。游戏行业是其主要的攻击目标，然后是教育机构。今天早上Akamai SIRT发布了一份安全威胁报告，该报告由安全响应工程师Tsvetelin ‘Vincent’ Choranov所作。”

 

　　所用技术分析

Blaze安全博客(Blaze Security blog)发表的一篇博文中陈述道：

“简而言之：Xor.DDoS是一个多平台、多态的针对Linux系统的恶意软件，它的最终目标是DDoS其他机器。其名字Xor.DDoS来源于大量使用的XOR加密，该加密方法同时用于恶意软件和到C&C服务器的网络通信中。”

研究人员发现，攻击者伪装了参与DDoS攻击的机器的IP地址。在某些情况下，他们使用IP欺骗技术使受害者更难维护基础设施对攻击的抵御能力。专家们发现，XOR DDoS攻击依赖于这样的Linux机器，它们用于保护命令shell的弱密码被攻击者破解，然后被入侵并控制。一旦攻击者获得Linux机器的访问权限，他们将使用root权限启动一个用来下载并执行恶意二进制文件的脚本。Akamai的安全业务单位的高级副总裁兼总经理Stuart Scholly解释说：

“XOR DDoS攻击是一个例子，即攻击者切换焦点并使用攻陷的Linux系统构建僵尸网络，然后发起DDoS攻击。目前这种情况比过去更常见，过去Windows机器是DDoS恶意软件的主要攻击目标。”

　　基于Linux的其他恶意活动

根据最近发现的情况，XOR DDoS并不是唯一的由Linux系统组成的僵尸网络，其他基于Linux的恶意软件的例子包括Spike DDoS工具包和IptabLes and IptabLex恶意软件，它们在去年针对Linux服务器运行大规模的DDoS攻击。Akamai发布的报告中解释道：

“对于恶意攻击者来说，Linux漏洞的数量一直在持续增长，例如今年早些时候在GNU C库中发现的基于堆的缓冲区溢出漏洞，XOR DDoS本身并没有利用特定的漏洞。”

(责任编辑：安博涛)