Chalubo僵尸网络来袭 IOT设备或将受到DDoS攻击

　　【资讯】根据Sophos Labs报告称，一种新的恶意软件正在瞄准物联网(IoT)设备，企图将它们陷入能够发起分布式拒绝服务(DDoS)攻击的僵尸网络中。

　　该恶意软件被称为Chalubo(ChaCha-Lua-bot)，它包含来自Xor.DDoS和Mirai系列的代码，但也带来了反分析技术的改进。具体来说，入侵者使用ChaCha流密码加密了主要组件及其相应的Lua脚本。

　　在8月下旬，Sophos观察到攻击者使用三种恶意组件进行传播，即下载程序，僵尸程序和命令脚本，而其中僵尸程序仅在具有x86架构的系统上运行。

　　而在数周前，网络犯罪分子开始使用Elknot滴管来交付其余的Chalubo。更重要的是，Sophos Labs安全研究人员观察了各种bot版本，发现僵尸网络已经可以针对不同的架构进行破坏，包括32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC。

　　通过扩展的目标列表，Sophos得出结论，恶意软件入侵者可能最初一直在测试机器人，但是试验已经结束，并且预计这种新威胁的活动将会增加。

　　9月初，恶意软件通过SSH服务器上的暴力攻击进行分发。Sophos基于对其蜜罐的攻击揭示，攻击者使用root：admin凭证对来破坏设备。

　　与我们通常从这些类型的攻击中看到的标准Linux机器人相比，这个机器人表现出更高的复杂性。研究人员指出，攻击者不仅使用分层方法来删除恶意组件，而且使用的加密技术并不是我们通常用Linux恶意软件能看到的。

　　恶意软件下载程序丢弃的文件之一是脚本，执行此操作的方式与Xor.DDoS系列的行为完全匹配。实际上，Chalubo似乎从较旧的恶意软件中复制了负责持久性的代码。

　　此外，研究人员发现Chalubo的作者还复制了Mirai的一些代码片段，包括一些随机函数。但是，新恶意软件系列中的大多数功能代码都是新的，因为作者主要关注使用DNS，UDP和SYN泛洪执行DDoS攻击的Lua处理。

　　机器人的Lua脚本旨在调用命令和控制(C&C)服务器的主页，以提供受感染机器的详细信息并接收进一步的指令。它还会下载，解密和执行它找到的任何Lua脚本。

　　“由于这种机器人感染系统的主要方法是通过对SSH服务器使用通用的用户名和密码组合，我们建议SSH服务器的系统管理员(包括嵌入式设备)更改这些设备上的任何默认密码，因为蛮力试图通过常见的，公开的默认密码循环，“Sophos总结道。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!