Noll
Chalubo är en ny botnät som riktar sig dåligt säkrade Internet of Things (IoT) – enheter och servrar för att distributed denial-of-service (DDoS) attacker.
Forskare från it-företaget Sophos sade i veckan att botnät blir “alltmer produktiva” och är trappar upp sina ansträngningar för att rikta Internet-inför SSH-servrar med Linux-baserade system vid sidan av IoT produkter.
De viktigaste Chalubo bot är inte bara anta förvirring tekniker är mer vanligt förekommande i Windows-baserade skadlig kod men är också med hjälp av kod från Xor.DDoS-och Mirai, den senare som var ansvarig för att ta ner Internet i hela USA och i Europa för tre år sedan.
Chalubo innehåller en downloader, är den viktigaste bot-som körs på datorer med x86-processor-arkitektur, och en Lua-kommandot script. Den downloader är Elknot dropper, som tidigare varit kopplade till Elasticsearch botnät.
Olika versioner av bot har upptäckts av forskare som är verksamma på andra processorer, som 32 – och 64-bitars ARM, x86, x86_64, MIPS, MIPSEL, PowerPC — som forskarna föreslår “kan tyda på slutet av en testperiod.”
]Se också: Den mest intressanta Internet-anslutna fordon hacka på skiva
Attackerna började i slutet av augusti, och en misshandel som är registrerade på en Sophos honeypot den 6 September gav företaget en inblick i den nya bot funktioner.
Chalubo försökt att brute-force-attack och säkra bevis för honeypot, och medan angriparna trodde att de kunde vinna ett skal genom rot-admin, forskare tyst inspelade hur de kommandon som används för att “stoppa” brandvägg för skydd och installera skadliga komponenter.
De viktigaste bot komponent och motsvarande Lua kommandot script är krypterad med hjälp av ChaCha stream cipher, och när attacken mot skål med honung som lanserades för ett visst kommando — libsdes — stod ut.
CNET: Vita Huset vill låna teknisk arbetstagare från Google, Amazon, säger rapporten
Vid körning, libsdes skapar en tom fil för att förhindra den skadliga programvaran av misstag köra mer än en gång. Botnät försök att kopiera sig själv med en slumpmässig sträng av bokstäver och siffror i /usr/bin/, förgrena sig för att skapa flera punkter av uthållighet att överleva en omstart.
Ett skript är då tappade och avrättades för extra uthållighet, som Sophos säger är nära till en kopia av hur Xor.DDoS-familjen driver.
“Bot visar ökad komplexitet jämfört med de vanliga Linux-robotar som vi vanligen ser som levereras från dessa typer av attacker,” Sophos säger. “Det är inte bara angripare med hjälp av ett lager tillvägagångssätt för att släppa skadliga komponenter, men den kryptering som används är inte en som vi vanligen ser med Linux malware.”
TechRepublic: Hur Råttor infekterar datorer med skadlig programvara
Bot sig innehåller fragment av Mirai men majoriteten av koden som är nytt. Lua kommandot script kommunicerar med botnät är kommando-och-kontroll (C2) – server och kommer att ladda ner, dekryptera, och utföra några ytterligare skript som den hittar.
Urvalet av Lua Sophos fått var utformade för att uppmana bot att utföra en SYN-flood, en typ av DoS som skickar SYN-paket på hög paket priser i ett försök att överbelasta ett system.
I detta fall, en enda Kinesisk IP-adress var riktad.
Sophos förväntar sig att som botnät verkar vara nått slutet av en testfas, vi kan förvänta oss en mer omfattande attacker från detta botnet i framtiden. Men Chalubo är långt ifrån den enda botnet hot som finns där ute.
I September, forskare från Avast avslöjat förekomsten av Torii, ett botnät som anses vara “en nivå över något vi har sett förut” – inklusive Mirai.
Tidigare och relaterade täckning
Detta är hur regeringen spyware StrongPity använder säkerhet forskarnas arbete mot dem i Google Nyheter app bugg brännskador genom gigabyte användaren mobil data-Projekt Lakhta: ryska nationella debiteras med valet i USA inblandning
Relaterade Ämnen:
Sakernas Internet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0