dawei
在攻击和感染SSH服务器蜜罐时,观察到一种新发现的Linux恶意软件,其中一种新的拒绝服务(DoS)僵尸病毒被称为Chalubo,并被坏人用来执行大规模的分布式拒绝服务(DDoS)攻击。
正如Sophos的Timothy Easton所发现的那样,Chalubo机器人背后的入侵者使用来自Xor.DDoS和Mirai恶意软件系列的代码,他们在ChaCha流密码的帮助下对机器人进行加密。
ASP站长网这种类型的混淆技术旨在阻碍分析,这是针对Windows平台开发的恶意软件的常见特征,但在涉及Linux恶意工具时却很少见到。
Sophos最初在2018年8月底观察到了Chalubo僵尸网络,当时攻击者正在使用基于三个组件的传播方法(即下载程序,僵尸程序和命令脚本),而在10月份,DDoS僵尸程序正在使用下载Chalubo有效载荷的Elknot滴管。
此外,在攻击开始时,Chalubo的作者将其设计为仅针对x86平台,10月份僵尸网络已经发展为渗透并破坏了32位和64位ARM,x86,x86_64,MIPS,MIPSEL和PowerPC架构。
Chalubo机器人不断更新,具有新功能和对新架构的支持
“我们在2018年9月6日记录了攻击,机器人试图对SSH服务器强制登录凭证;我们的蜜罐为攻击者提供了一个接受各种凭证的真实外壳,”Sophos说。 “攻击者使用root:admin的组合来获得一个shell ……或者至少,这就是他们的想法。”
一旦SSH服务器遭到破坏,dropper脚本将下载Chalubo ELF二进制有效负载,并使用ChaCha解密模块对其进行解密。
随后,有效载荷将在LZMA的帮助下解除归档,并使用execve程序执行,使服务器准备接收将使其成为DDoS僵尸网络一部分的命令。
鉴于Chalubo背后的入侵者使用默认用户/密码组合来强制进入SSH服务器,保护机器的最简单方法是将其默认密码更改为自定义密码或尽可能使用SSH密钥。
