中国代表当普京面再次强烈提出吉林出海口问题,历史真相一言难尽

勇于认错和道歉是媒体的基本素养

中美芯片战,轻舟已过万重山(中)

事出反常必有妖

中美芯片战,轻舟已过万重山(上)

生成图片,分享到微信朋友圈

自由微信安卓APP发布,立即下载! | 提交文章网址
查看原文

Chalubo:物联网僵尸网络新秀

Ionut Arghire 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:360代码卫士团队

Sophos 实验室发布报告称,一款针对物联网设备的新型恶意软件出现,目的是组建僵尸网络,从而发动 DDoS 攻击。

这款新型恶意软件被称为“Chalubo (ChaCha-Lua-bot)”,它整合了 Xor.DDoS 和 Mirai 家族的同时改进了反分析技术。具体而言,作者已经加密了主件以及对应的使用 ChaCha 流密码的 Lua 脚本。

8月末,攻击者被指使用三个恶意组件发动威胁:一个下载器、一个主僵尸还有一个 Lua 命令脚本。僵尸仅在 x86 基础架构的系统上运行。

几周前,网络犯罪分子开始使用 Elknot 释放器传播余下的 Chalubo。更重要的是,研究人员发现多个僵尸版本旨在攻击不同的基础架构,包括32位和64位 ARM、x86、x86_64、MIPS、MIPSEL 和 PowerPC。

由于攻击列表已扩充,Sophos 公司认为恶意软件作者可能刚开始是在测试僵尸,现在测试阶段已结束,因此该威胁的攻击活动可能增加。

9月初,恶意软件被通过暴力攻击在 SSH 服务器上传播。从蜜罐来看,攻击人员使用 root:admin 凭证对来攻陷设备。研究人员指出,“和标准的 Linux 僵尸相比,这个僵尸更加复杂。攻击者不仅使用了层级方式释放恶意组件,而且所使用的加密并非我们从 Linux 恶意软件中看到的那样。”

该恶意软件下载器释放的其中一个文件是一个脚本,而该动作执行的方式和 Xor.DDoS 家族的行为十分吻合。实际上,Chalubo 似乎复制了用于保持持久性的代码。另外,研究人员发现 Chalubo 作者还从 Mirai 复制了一些代码片段,包括其中一些随机化功能。

然而,这个新型恶意软件家族中的主要功能性代码是新出现的,因为它的作者主要关注的是处理通过 DNS、UDP 和 SYN 洪水执行 DDoS 攻击的 Lua。

该僵尸的 Lua 脚本旨在向 C&C 服务器提供受感染机器的详情并且接受进一步的指令。它还会下载、解密并执行发现的任何 Lua 脚本。

Sophos 表示,“由于这个僵尸感染系统的主要方法是通过 SSH 服务器使用的常见的用户名和密码组合,因此我们建议 SSH 服务器(包括嵌入式设备)的系统管理员更改这些设备的默认密码,因为攻击者试图通过常见且公开的默认密码循环执行暴力攻击。”

 


推荐阅读

5G 时代和物联网设备面临的安全机遇和挑战

当心! 物联网僵尸网络 Mirai 和 Gafgyt 瞄上了企业


原文链接

https://www.securityweek.com/ddos-capable-iot-botnet-chalubo-rises




本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



文章有问题?点此查看未经处理的缓存