智安网络 讯:根据Sophos Labs报告称,一种新的恶意软件正在瞄准物联网(IoT)设备,企图将它们陷入能够发起分布式拒绝服务(DDoS)攻击的僵尸网络中。
该恶意软件被称为Chalubo(ChaCha-Lua-bot),它包含来自Xor.DDoS和Mirai系列的代码,但也带来了反分析技术的改进。具体来说,入侵者使用ChaCha流密码加密了主要组件及其相应的Lua脚本。
8月下旬开始传播,已经有多个版本
在8月下旬,Sophos观察到攻击者使用三种恶意组件进行传播,即下载程序,僵尸程序和命令脚本,而其中僵尸程序仅在具有x86架构的系统上运行。
而在数周前,网络犯罪分子开始使用Elknot滴管来交付其余的Chalubo。更重要的是,Sophos Labs安全研究人员观察了各种bot版本,发现僵尸网络已经可以针对不同的架构进行破坏,包括32位和64位ARM,x86,x86_64,MIPS,MIPSEL和PowerPC。
通过扩展的目标列表,Sophos得出结论,恶意软件入侵者可能最初一直在测试机器人,但是试验已经结束,并且预计这种新威胁的活动将会增加。
9月初,恶意软件通过SSH服务器上的暴力攻击进行分发。Sophos基于对其蜜罐的攻击揭示,攻击者使用root:admin凭证对来破坏设备。
到了10月中旬,攻击者开始发出检索Elknot dropper(检测为Linux/DDoS-AZ)的命令,它被用于提供Chalubo(ChaCha-Lua-bot)软件包的其余部分。
攻击尝试暴力破解密码
与我们通常从这些类型的攻击中看到的标准Linux机器人相比,这个机器人表现出更高的复杂性。研究人员指出,攻击者不仅使用分层方法来删除恶意组件,而且使用的加密技术并不是我们通常用Linux恶意软件能看到的。
恶意软件下载程序丢弃的文件之一是脚本,执行此操作的方式与Xor.DDoS系列的行为完全匹配。实际上,Chalubo似乎从较旧的恶意软件中复制了负责持久性的代码。
虽然攻击手法十分常见,但攻击者使用了分层方法来下载恶意组件,并且使用的加密方法对于Linux恶意软件而言,也是我们所不常见的。
事实上,如果仔细查看负责持续攻击的代码段的话,我们能够发现Chalubo已经从Xor.DDoS恶意软件家族中复制了DelService和AddService函数。
此外,研究人员发现Chalubo的作者还复制了Mirai的一些代码片段,包括一些随机函数。但是,新恶意软件系列中的大多数功能代码都是新的,因为作者主要关注使用DNS,UDP和SYN泛洪执行DDoS攻击的Lua处理。
机器人的Lua脚本旨在调用命令和控制(C&C)服务器的主页,以提供受感染机器的详细信息并接收进一步的指令。它还会下载,解密和执行它找到的任何Lua脚本。
SophosLabs提出的一些预防建议和防范措施
“由于这种机器人感染系统的主要方法是通过对SSH服务器使用通用的用户名和密码组合,我们建议SSH服务器的系统管理员(包括嵌入式设备)更改这些设备上的任何默认密码,因为蛮力试图通过常见的,公开的默认密码循环,“Sophos总结道。
智安网络云联防,以智安全国高防集群和数据中心资源为基础,结合自主研发智能调度算法,实现全国全网分布式联动防御,业务快速接入,全面清洗SYN flood、ACK flood、CC攻击、连接攻击等,有效防御超大流量攻击。
閱讀更多 智安網絡 的文章
