Chalubo殭屍網路來襲 IOT裝置或將受到DDoS攻擊

根據Sophos Labs報告稱，一種新的惡意軟體正在瞄準物聯網（IoT）裝置，企圖將它們陷入能夠發起分散式拒絕服務（DDoS）攻擊的殭屍網路中。

該惡意軟體被稱為 Chalubo （ChaCha-Lua-bot），它包含來自 Xor.DDoS 和 Mirai 系列的程式碼，但也帶來了反分析技術的改進。具體來說，入侵者使用ChaCha流密碼加密了主要元件及其相應的Lua指令碼。

在8月下旬，Sophos觀察到攻擊者使用三種惡意元件進行傳播，即下載程式，殭屍程式和命令指令碼，而其中殭屍程式僅在具 有x86架構的系統上執行。

而在數週前，網路犯罪分子開始使用Elknot滴管來交付其餘的Chalubo。更重要的是，Sophos Labs安全研究人員觀察了各種bot版本，發現殭屍網路已經可以針對不同的架構進行破壞，包括32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC。

通過擴充套件的目標列表，Sophos得出結論，惡意軟體入侵者可能最初一直在測試機器人，但是試驗已經結束，並且預計這種新威脅的活動將會增加。

9月初，惡意軟體通過SSH伺服器上的暴力攻擊進行分發。Sophos基於對其蜜罐的攻擊揭示，攻擊者使用root：admin憑證對來破壞裝置。

與我們通常從這些型別的攻擊中看到的標準Linux機器人相比，這個機器人表現出更高的複雜性。研究人員指出，攻擊者不僅使用分層方法來刪除惡意元件，而且使用的加密技術並不是我們通常用Linux惡意軟體能看到的。

惡意軟體下載程式丟棄的檔案之一是指令碼，執行此操作的方式與Xor.DDoS系列的行為完全匹配。實際上，Chalubo似乎從較舊的惡意軟體中複製了負責永續性的程式碼。

 

此外，研究人員發現Chalubo的作者還複製了Mirai的一些程式碼片段，包括一些隨機函式。但是，新惡意軟體系列中的大多數功能程式碼都是新的，因為作者主要關注使用DNS，UDP和SYN泛洪執行DDoS攻擊的Lua處理。

機器人的Lua指令碼旨在呼叫命令和控制（C＆C）伺服器的主頁，以提供受感染機器的詳細資訊並接收進一步的指令。它還會下載，解密和執行它找到的任何Lua指令碼。

“由於這種機器人感染系統的主要方法是通過對SSH伺服器使用通用的使用者名稱和密碼組合，我們建議SSH伺服器的系統管理員（包括嵌入式裝置）更改這些裝置上的任何預設密碼，因為蠻力試圖通過常見的，公開的預設密碼迴圈，“Sophos總結道。

來自 “ https://www.securityweek.com/ddos-capable-iot-botn ”，原文連結：http://blog.itpub.net/31545812/viewspace-2217341/，如需轉載，請註明出處，否則將追究法律責任。