登录 / 注册
IT168网络安全频道
IT168首页 > 网络安全 > 网络安全资讯 > 正文

Chalubo僵尸网络来袭 IOT设备或将受到DDoS攻击

2018-10-24 14:07    it168网站 原创  作者: 高博编译 编辑: 高博

  【IT168 资讯】根据Sophos Labs报告称,一种新的恶意软件正在瞄准物联网(IoT)设备,企图将它们陷入能够发起分布式拒绝服务(DDoS)攻击的僵尸网络中。

  该恶意软件被称为Chalubo(ChaCha-Lua-bot),它包含来自Xor.DDoS和Mirai系列的代码,但也带来了反分析技术的改进。具体来说,入侵者使用ChaCha流密码加密了主要组件及其相应的Lua脚本。

  在8月下旬,Sophos观察到攻击者使用三种恶意组件进行传播,即下载程序,僵尸程序和命令脚本,而其中僵尸程序仅在具有x86架构的系统上运行。

  而在数周前,网络犯罪分子开始使用Elknot滴管来交付其余的Chalubo。更重要的是,Sophos Labs安全研究人员观察了各种bot版本,发现僵尸网络已经可以针对不同的架构进行破坏,包括32位和64位ARM,x86,x86_64,MIPS,MIPSEL和PowerPC。

  通过扩展的目标列表,Sophos得出结论,恶意软件入侵者可能最初一直在测试机器人,但是试验已经结束,并且预计这种新威胁的活动将会增加。

  9月初,恶意软件通过SSH服务器上的暴力攻击进行分发。Sophos基于对其蜜罐的攻击揭示,攻击者使用root:admin凭证对来破坏设备。

  与我们通常从这些类型的攻击中看到的标准Linux机器人相比,这个机器人表现出更高的复杂性。研究人员指出,攻击者不仅使用分层方法来删除恶意组件,而且使用的加密技术并不是我们通常用Linux恶意软件能看到的。

  恶意软件下载程序丢弃的文件之一是脚本,执行此操作的方式与Xor.DDoS系列的行为完全匹配。实际上,Chalubo似乎从较旧的恶意软件中复制了负责持久性的代码。

  此外,研究人员发现Chalubo的作者还复制了Mirai的一些代码片段,包括一些随机函数。但是,新恶意软件系列中的大多数功能代码都是新的,因为作者主要关注使用DNS,UDP和SYN泛洪执行DDoS攻击的Lua处理。

  机器人的Lua脚本旨在调用命令和控制(C&C)服务器的主页,以提供受感染机器的详细信息并接收进一步的指令。它还会下载,解密和执行它找到的任何Lua脚本。

  “由于这种机器人感染系统的主要方法是通过对SSH服务器使用通用的用户名和密码组合,我们建议SSH服务器的系统管理员(包括嵌入式设备)更改这些设备上的任何默认密码,因为蛮力试图通过常见的,公开的默认密码循环,“Sophos总结道。

关键字: 网络安全
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

行车视线文章推荐

首页 评论 返回顶部