一个新的物联网僵尸网络Chalubo在威胁环境中出现

2018-10-26 18:40:32   来源:威客安全 企鹅号   作者:   评论:0
导读

Sophos实验室的安全专家发现了一种新的Linux恶意软件,名为Chalubo (ChaCha-Lua-bot),它瞄准的是物联网设备,试图将其招募到一个僵

       Sophos实验室的安全专家发现了一种新的Linux恶意软件,名为Chalubo (ChaCha-Lua-bot),它瞄准的是物联网设备,试图将其招募到一个僵尸网络中,该网络被用来发动DDoS攻击。

       新的IoT恶意软件借用了Xor的代码。DDoS和Mirai机器人,它还实现了新的逃税技术,例如,作者已经加密的主要组件和相应的Lua脚本使用ChaCha流密码。

       “自9月初以来,SophosLabs一直在监视针对基于linux系统上的面向互联网的SSH服务器的越来越多的攻击,这些攻击减少了一个新发现的拒绝服务机器人家族,我们称之为Chalubo。Sophos实验室的分析报告中写道。

       “攻击者使用ChaCha流密码加密了主要的bot组件及其对应的Lua脚本。”

       恶意软件在8月底首次被发现,当时操作人员发布命令,命令设备下载由三个组件组成的恶意代码,一个下载器,一个主机器人,和Lua命令脚本。攻击者在SSH服务器上使用蛮力攻击(使用root:admin凭证)来分发恶意软件。

       “对我们的蜜罐进行这种简单的攻击是很常见的,但最突出的是libsdes的样本。分析继续说道。

“与我们通常看到的从这些类型的攻击中交付的标准Linux机器人相比,这种机器人显示出更高的复杂性。攻击者不仅使用分层的方法删除恶意组件,而且使用的加密方式也不是我们通常看到的Linux恶意软件。

chalubo

       IoT恶意软件只在x86架构的系统上运行。

       从10月中旬开始,操作人员已经发出命令,检索Elknot滴管,用于交付Chalubo (ChaCha-Lua-bot)包的其余部分。

       最重要的新颖之处在于发现了各种各样的bot版本,这些版本的设计目标是不同的体系结构,包括32位和64位ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。

       这种情况让人相信,攻击者在8月份测试了这款机器人,现在正在扩大当前行动的潜在目标名单。

       专家们注意到,下载器也会以同样的方式删除一个脚本,即Xor。DDoS bot家族的确如此,很可能是作者借用了旧威胁的代码。攻击者还复制了一些臭名昭著的Mirai bot的代码片段,比如一些随机函数和util_local_addr函数的扩展形式。

       研究人员注意到,bot中的大部分代码都是新的,作者将重点放在了自己的Lua处理上,以便使用DNS、UDP和SYN功能启动DoS攻击。

       机器人的Lua脚本首先连接命令和控制(C&C)服务器,提供感染机器的详细信息并接收进一步的指令。脚本还会下载、解密和执行它找到的任何Lua脚本。

       为了减轻这种威胁,专家建议SSH服务器(包括物联网设备)的系统管理员更改这些系统上的任何默认密码。

       Sophos发表的分析报告报告了更多细节,包括IoCs。

相关热词:

上一篇:余承东回怼雷军:华为相机全球第一 Mate 20不想打击友商 下一篇:电商备战“双十一” 诚信经营是成功之道

嘉瀛汇携手株洲动力谷打造政府引导基金

嘉瀛汇携手株洲动力谷打造政府引...

2019-10-24 16:00:03

2019年10月22日,在长沙市芙蓉区解放西路国金中心T1栋19楼嘉瀛汇湖南分公司大会议室,嘉瀛汇携手株洲动力谷以及多家优秀投资...[全文]

相关热词:  嘉瀛汇,株洲动力谷

© 2018-2021 曜貳空间(www.12leader.com)版权所有 / 备案号:京ICP备15022685号