Zero
Chalubo è una nuova botnet che si rivolge fissata male Internet delle Cose (IoT) dispositivi e server allo scopo di distributed denial-of-service (DDoS).
I ricercatori di sicurezza informatica Sophos, società, ha detto questa settimana che la botnet sta diventando “sempre più prolifica” e sta incrementando gli sforzi per destinazione Internet server SSH su sistemi basati su Linux a fianco degli Oggetti prodotti.
Il principale Chalubo bot non è solo adottando le tecniche di offuscamento più comunemente si trovano in Windows malware, ma è anche utilizzando il codice da Xor.DDoS e Mirai, l’ultimo dei quali è stato responsabile per abbattere servizi Internet negli stati UNITI e in Europa da tre anni.
Chalubo contiene un downloader, il principale bot — che gira su sistemi con un processore con architettura x86, e Lua script di comando. Il downloader è il Elknot dropper, che precedentemente è stato collegato alla Elasticsearch botnet.
Diverse versioni del bot, sono stati scoperti dai ricercatori che operano su altri processori — 32 – e 64-bit ARM, x86, x86_64, MIPS, MIPSEL, e PowerPC-che il team suggerisce “può indicare la fine di un periodo di prova.”
]Vedi anche: La più interessante connessi a Internet, veicolo hack su record
Attacchi cominciarono a fine agosto, e un assalto registrato a Sophos honeypot il 6 settembre ha dato l’azienda di conoscere un nuovo bot capacità.
Chalubo tentato un attacco a forza bruta e sicuro le credenziali di honeypot, e mentre gli attaccanti credevano di essere in grado di ottenere una shell tramite root admin, i ricercatori hanno silenziosamente registrati come hanno usato i comandi di ‘stop’ protezioni firewall e installare i componenti dannosi.
Il principale bot componente e il corrispondente Lua script di comando vengono crittografati utilizzando il ChaCha cifrario a flusso, e quando l’attacco contro l’honeypot è stato lanciato, un particolare comando — libsdes — stava fuori.
CNET: Casa Bianca vuole prendere in prestito tech lavoratori da Google, Amazon, dice rapporto
Al momento dell’esecuzione, libsdes crea un file vuoto per evitare che il malware accidentalmente eseguire più di una volta. La botnet quindi si tenta di copiare se stesso con una stringa casuale di lettere e numeri in /usr/bin/, il fork di sé per la creazione di più punti di persistenza di sopravvivere ad un riavvio.
Uno script è poi caduto ed eseguito per ulteriori persistenza, che Sophos dice che è vicino a una copia carbone di come l’operazione di Xor.DDoS famiglia opera.
“Questo bot dimostra maggiore complessità rispetto a standard di Linux bot vediamo in genere consegnati da questi tipi di attacchi,” Sophos dice. “Non solo gli attaccanti, utilizzando un approccio a più livelli per la rimozione di componenti dannosi, ma il sistema di crittografia utilizzato non è quello che vediamo in genere con Linux malware”.
TechRepublic: Come Ratti infettare i computer con il software dannoso
Il bot stessa contiene frammenti di Mirai, ma la maggior parte del codice è nuovo. Lua script di comando comunica con la botnet di comando e controllo (C2) server e scarica, decifrare, e di eseguire qualsiasi script aggiuntivo che trova.
Il campione di Lua Sophos ottenuto è stato progettato per richiedere il bot per eseguire un attacco SYN flood, una sorta di DoS che invia pacchetti SYN a pacchetti elevato costo, nel tentativo di sopraffare un sistema.
In questo caso, un singolo Cinese indirizzo IP è stato preso di mira.
Sophos si aspetta che la botnet sembra essere raggiunto la fine di una fase di test, ci si può aspettare più diffusa di attacchi da questa botnet in futuro. Tuttavia, Chalubo è lungi dall’essere l’unico botnet minaccia.
Nel mese di settembre, i ricercatori Avast ha rivelato l’esistenza di Torii, una botnet che è considerato “un livello al di sopra di qualsiasi cosa abbiamo visto prima” — tra cui Mirai.
Precedente e relativa copertura
Questo è come il governo spyware StrongPity utilizza i ricercatori di sicurezza di lavoro contro di loro Google News app bug brucia gigabyte di utente mobile di dati di Progetto Lakhta: nazionale russa di carica con NOI elezione ingerenza
Argomenti Correlati:
Internet delle Cose
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0