近期 ，微软微软表示在过去六个月中
，检测件活一种用于入侵Linux设备并构建DDoS僵尸网络的到L动激隐秘模块化恶意软件的活动量大幅增加了254%。该恶意软件从2014年开始活跃 ，意软也被称为XorDDoS或XOR DDoS
，微软因为它在与命令和控制(C2)服务器通信时使用基于XOR的检测件活加密
，并被用于发起分布式拒绝服务(DDoS)攻击 。到L动激正如该公司透露的意软那样，僵尸网络的模板下载微软成功可能是由于其广泛使用各种规避和持久性策略，使其能够保持隐秘且难以清除。检测件活

微软365Defender研究团队表示，到L动激它的意软规避能力包括混淆恶意软件的活动、规避基于规则的微软检测机制和基于哈希的恶意文件查找，以及使用反取证技术来破坏基于进程树的检测件活分析。服务器租用“我们在最近的到L动激活动中观察到 ，XorDdos通过用空字节覆盖敏感文件来隐藏恶意活动以防止分析
。”

XorDDoS 以针对多种Linux系统架构而闻名，从ARM(物联网)到x64(服务器)，并在 SSH 蛮力攻击中破坏易受攻击的架构
。为了传播到更多设备，它使用一个shell脚本，该脚本将尝试使用各种密码以 root 身份登录数以千计的互联网公开系统，直到最终找到匹配项。免费模板

除了发起DDoS攻击外 ，恶意软件的操作者还使用XorDDoS僵尸网络安装rootkit，维护对被黑设备的访问，并很可能释放额外的恶意负载 。微软补充说:“我们发现 ，最先感染XorDdos的设备后来又被其他恶意软件感染 ，比如海啸后门，它还进一步部署了XMRig币挖矿机。源码库虽然我们没有观察到 XorDdos 直接安装和分发像海啸这样的二级有效载荷，但木马有可能被用作后续活动的载体。”

微软自12月以来检测到的 XorDDoS 活动的巨大增长与网络安全公司 CrowdStrike 的一份报告一致，该报告称Linux 恶意软件在2021年与上一年相比增长了 35%   。

XorDDoS、Mirai和Mozi是最流行的建站模板攻击种类，占2021年观察到的所有针对 Linux 设备的恶意软件攻击的 22%。在这三者中
，CrowdStrike 表示 XorDDoS 同比显着增长了 123%
，而 Mozi 的活动呈爆炸式增长，去年全年在野检测到的样本数量增加了 10 倍
。Intezer 2021 年 2月的云计算一份报告显示，与2019年相比 ，2020年Linux恶意软件种类增加了约 40%。

参考来源
：https://www.bleepingcomputer.com/news/security/microsoft-detects-massive-surge-in-linux-xorddos-malware-activity/