智安網絡 訊:根據Sophos Labs報告稱,一種新的惡意軟件正在瞄準物聯網(IoT)設備,企圖將它們陷入能夠發起分佈式拒絕服務(DDoS)攻擊的殭屍網絡中。
該惡意軟件被稱為Chalubo(ChaCha-Lua-bot),它包含來自Xor.DDoS和Mirai系列的代碼,但也帶來了反分析技術的改進。具體來說,入侵者使用ChaCha流密碼加密了主要組件及其相應的Lua腳本。
8月下旬開始傳播,已經有多個版本
在8月下旬,Sophos觀察到攻擊者使用三種惡意組件進行傳播,即下載程序,殭屍程序和命令腳本,而其中殭屍程序僅在具有x86架構的系統上運行。
而在數週前,網絡犯罪分子開始使用Elknot滴管來交付其餘的Chalubo。更重要的是,Sophos Labs安全研究人員觀察了各種bot版本,發現殭屍網絡已經可以針對不同的架構進行破壞,包括32位和64位ARM,x86,x86_64,MIPS,MIPSEL和PowerPC。
通過擴展的目標列表,Sophos得出結論,惡意軟件入侵者可能最初一直在測試機器人,但是試驗已經結束,並且預計這種新威脅的活動將會增加。
9月初,惡意軟件通過SSH服務器上的暴力攻擊進行分發。Sophos基於對其蜜罐的攻擊揭示,攻擊者使用root:admin憑證對來破壞設備。
到了10月中旬,攻擊者開始發出檢索Elknot dropper(檢測為Linux/DDoS-AZ)的命令,它被用於提供Chalubo(ChaCha-Lua-bot)軟件包的其餘部分。
攻擊嘗試暴力破解密碼
與我們通常從這些類型的攻擊中看到的標準Linux機器人相比,這個機器人表現出更高的複雜性。研究人員指出,攻擊者不僅使用分層方法來刪除惡意組件,而且使用的加密技術並不是我們通常用Linux惡意軟件能看到的。
惡意軟件下載程序丟棄的文件之一是腳本,執行此操作的方式與Xor.DDoS系列的行為完全匹配。實際上,Chalubo似乎從較舊的惡意軟件中複製了負責持久性的代碼。
雖然攻擊手法十分常見,但攻擊者使用了分層方法來下載惡意組件,並且使用的加密方法對於Linux惡意軟件而言,也是我們所不常見的。
事實上,如果仔細查看負責持續攻擊的代碼段的話,我們能夠發現Chalubo已經從Xor.DDoS惡意軟件家族中複製了DelService和AddService函數。
此外,研究人員發現Chalubo的作者還複製了Mirai的一些代碼片段,包括一些隨機函數。但是,新惡意軟件系列中的大多數功能代碼都是新的,因為作者主要關注使用DNS,UDP和SYN泛洪執行DDoS攻擊的Lua處理。
機器人的Lua腳本旨在調用命令和控制(C&C)服務器的主頁,以提供受感染機器的詳細信息並接收進一步的指令。它還會下載,解密和執行它找到的任何Lua腳本。
SophosLabs提出的一些預防建議和防範措施
“由於這種機器人感染系統的主要方法是通過對SSH服務器使用通用的用戶名和密碼組合,我們建議SSH服務器的系統管理員(包括嵌入式設備)更改這些設備上的任何默認密碼,因為蠻力試圖通過常見的,公開的默認密碼循環,“Sophos總結道。
智安網絡雲聯防,以智安全國高防集群和數據中心資源為基礎,結合自主研發智能調度算法,實現全國全網分佈式聯動防禦,業務快速接入,全面清洗SYN flood、ACK flood、CC攻擊、連接攻擊等,有效防禦超大流量攻擊。
閱讀更多 智安網絡 的文章
