Chalubo：物联网僵尸网络新秀

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

Sophos实验室发布报告称，一款针对物联网设备的新型恶意软件出现，目的是组建僵尸网络，从而发动DDoS攻击。

这款新型恶意软件被称为“Chalubo (ChaCha-Lua-bot)”，它整合了Xor.DDoS和Mirai家族的同时改进了反分析技术。具体而言，作者已经加密了主件以及对应的使用ChaCha流密码的Lua脚本。

8月末，攻击者被指使用三个恶意组件发动威胁：一个下载器、一个主僵尸还有一个Lua命令脚本。僵尸仅在x86基础架构的系统上运行。

几周前，网络犯罪分子开始使用Elknot释放器传播余下的Chalubo。更重要的是，研究人员发现多个僵尸版本旨在攻击不同的基础架构，包括32位和64位ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。

由于攻击列表已扩充，Sophos公司认为恶意软件作者可能刚开始是在测试僵尸，现在测试阶段已结束，因此该威胁的攻击活动可能增加。

9月初，恶意软件被通过暴力攻击在SSH服务器上传播。从蜜罐来看，攻击人员使用root:admin凭证对来攻陷设备。研究人员指出，“和标准的Linux僵尸相比，这个僵尸更加复杂。攻击者不仅使用了层级方式释放恶意组件，而且所使用的加密并非我们从Linux恶意软件中看到的那样。”

该恶意软件下载器释放的其中一个文件是一个脚本，而该动作执行的方式和Xor.DDoS家族的行为十分吻合。实际上，Chalubo似乎复制了用于保持持久性的代码。另外，研究人员发现Chalubo作者还从Mirai复制了一些代码片段，包括其中一些随机化功能。

然而，这个新型恶意软件家族中的主要功能性代码是新出现的，因为它的作者主要关注的是处理通过DNS、UDP和SYN洪水执行DDoS攻击的Lua。

该僵尸的Lua脚本旨在向C&C服务器提供受感染机器的详情并且接受进一步的指令。它还会下载、解密并执行发现的任何Lua脚本。

Sophos表示，“由于这个僵尸感染系统的主要方法是通过SSH服务器使用的常见的用户名和密码组合，因此我们建议SSH服务器（包括嵌入式设备）的系统管理员更改这些设备的默认密码，因为攻击者试图通过常见且公开的默认密码循环执行暴力攻击。”