Nul
Chalubo er en ny botnet, som er rettet mod dårligt sikret Internet of Things (IoT) – enheder og servere til det formål distribueret denial-of-service (DDoS) angreb.
Forskere fra cybersecurity firmaet Sophos sagde i denne uge, at botnet bliver “mere og mere produktive” og er ramping op bestræbelser på at målrette Internettet-mod SSH-servere på Linux-baserede systemer sammen med tingenes internet produkter.
De vigtigste Chalubo bot er ikke kun at vedtage formørkelse teknikker mere almindeligt forekommende i Windows-baseret malware, men er også ved hjælp af kode fra Xor.DDoS-og Mirai, sidstnævnte som var ansvarlig for at tage ned Internet-tjenester på tværs af USA og Europa for tre år siden.
Chalubo indeholder en downloadet, den vigtigste bot-som kører på systemer med en x86-processor-arkitektur, og en Lua kommandoscript. Den downloader er Elknot dropper, der tidligere har været knyttet til Elasticsearch botnet.
Forskellige versioner af bot er blevet afsløret af de forskere, som arbejder på andre processorer-som 32 – og 64-bit ARM, x86, x86_64, MIPS, MIPSEL, PowerPC-som holdet foreslår “kan angive slutningen af en test-periode.”
]Se også: De mest interessante Internet-tilsluttede køretøj, hacks på rekord
Angreb begyndte i slutningen af August, og et angreb, der er registreret på en Sophos honeypot på September 6 gav virksomheden et indblik i den nye bot ‘ s kapaciteter.
Chalubo forsøgt at brute-force angreb og sikre legitimationsoplysninger honeypot, og mens angriberne troede, at de var i stand til at få en shell gennem root, admin, forskere lydløst optaget af, hvordan de anvendte kommandoer til at stoppe firewall-beskyttelse og installere skadelige komponenter.
De vigtigste bot komponent og den tilsvarende Lua kommando script er krypteret ved hjælp af den ChaCha stream cipher, og når angrebet mod honeypot blev lanceret, har en bestemt kommando — libsdes — stod ud.
CNET: det Hvide Hus ønsker at låne tech arbejdstagere fra Google, Amazon, siger rapport
Ved udførelse, libsdes skaber en tom fil for at forhindre, at malware ved et uheld udføre mere end én gang. De botnet, så forsøger at kopiere sig selv med en tilfældig streng af bogstaver og tal i /usr/bin/, forking sig selv for at skabe flere punkter af vedholdenhed at overleve en genstart.
Et script er derefter faldet og henrettet for yderligere vedholdenhed, som Sophos siger, er tæt på en kopi af, hvordan Xor.DDoS familie fungerer.
“Denne bot viser en øget kompleksitet i forhold til den standard Linux-bots vi ser normalt leveres af disse typer af angreb,” Sophos siger. “Ikke kun er angriberne ved hjælp af en lagdelt tilgang til at droppe skadelige komponenter, men den kryptering, der skal bruges ikke er en, som vi typisk ser med Linux-malware.”
TechRepublic: Hvordan Rotter inficere computere med skadelig software
Bot i sig selv indeholder uddrag af Mirai, men størstedelen af den kode, der er nye. Lua kommando script kommunikerer med botnet ‘ s kommando-og-kontrol (C2) – server og vil hente, dekryptere, og udføre yderligere script, den finder.
Prøven af Lua Sophos opnået var designet til at bede bot til at udføre et SYN flood angreb, en slags DoS, som sender SYN-pakker ved høje pakke priser i et forsøg på at overvælde et system.
I dette tilfælde, en enkelt Kinesisk IP-adresse blev rettet.
Sophos forventer, at som botnet ser ud til at være ved at nå slutningen af en test-fase, vi kan forvente mere udbredte angreb fra dette botnet i fremtiden. Men Chalubo er langt fra den eneste botnet trussel derude.
I September, forskere fra Avast har afsløret eksistensen af Torii, et botnet, som anses for at være “et niveau frem for noget vi har set før” – herunder Mirai.
Tidligere og relaterede dækning
Dette er, hvordan regeringen spyware StrongPity bruger sikkerheds-forskernes arbejde imod dem Google News app-fejl brænder gennem gigabyte bruger mobil data Projektet Lakhta: russiske nationale opkrævet med OS valget indblanding
Relaterede Emner:
Tingenes Internet
Sikkerhed-TV
Data Management
CXO
Datacentre
0