Chalubo殭屍網路來襲 IOT設備或將受到DDoS攻擊

根據Sophos Labs報告稱，一種新的惡意軟體正在瞄準物聯網（IoT）設備，企圖將它們陷入能夠發起分散式拒絕服務（DDoS）攻擊的殭屍網路中。

該惡意軟體被稱為 Chalubo （ChaCha-Lua-bot），它包含來自 Xor.DDoS 和 Mirai 系列的代碼，但也帶來了反分析技術的改進。具體來說，入侵者使用ChaCha流密碼加密了主要組件及其相應的Lua腳本。

在8月下旬，Sophos觀察到攻擊者使用三種惡意組件進行傳播，即下載程序，殭屍程序和命令腳本，而其中殭屍程序僅在具 有x86架構的系統上運行。

而在數周前，網路犯罪分子開始使用Elknot滴管來交付其餘的Chalubo。更重要的是，Sophos Labs安全研究人員觀察了各種bot版本，發現殭屍網路已經可以針對不同的架構進行破壞，包括32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC。

通過擴展的目標列表，Sophos得出結論，惡意軟體入侵者可能最初一直在測試機器人，但是試驗已經結束，並且預計這種新威脅的活動將會增加。

9月初，惡意軟體通過SSH伺服器上的暴力攻擊進行分發。Sophos基於對其蜜罐的攻擊揭示，攻擊者使用root：admin憑證對來破壞設備。

與我們通常從這些類型的攻擊中看到的標準Linux機器人相比，這個機器人表現出更高的複雜性。研究人員指出，攻擊者不僅使用分層方法來刪除惡意組件，而且使用的加密技術並不是我們通常用Linux惡意軟體能看到的。

惡意軟體下載程序丟棄的文件之一是腳本，執行此操作的方式與Xor.DDoS系列的行為完全匹配。實際上，Chalubo似乎從較舊的惡意軟體中複製了負責持久性的代碼。

此外，研究人員發現Chalubo的作者還複製了Mirai的一些代碼片段，包括一些隨機函數。但是，新惡意軟體系列中的大多數功能代碼都是新的，因為作者主要關注使用DNS，UDP和SYN泛洪執行DDoS攻擊的Lua處理。

機器人的Lua腳本旨在調用命令和控制（C＆C）伺服器的主頁，以提供受感染機器的詳細信息並接收進一步的指令。它還會下載，解密和執行它找到的任何Lua腳本。

「由於這種機器人感染系統的主要方法是通過對SSH伺服器使用通用的用戶名和密碼組合，我們建議SSH伺服器的系統管理員（包括嵌入式設備）更改這些設備上的任何默認密碼，因為蠻力試圖通過常見的，公開的默認密碼循環，「Sophos總結道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！