ITPub博客

首页 > IT基础架构 > 物联网安全 > Chalubo僵尸网络来袭 IOT设备或将受到DDoS攻击

Chalubo僵尸网络来袭 IOT设备或将受到DDoS攻击

翻译 物联网安全 编辑:高博 时间:2018-10-24 14:05:33 0 删除 编辑

根据Sophos Labs报告称,一种新的恶意软件正在瞄准物联网(IoT)设备,企图将它们陷入能够发起分布式拒绝服务(DDoS)攻击的僵尸网络中。

该恶意软件被称为 Chalubo (ChaCha-Lua-bot),它包含来自 Xor.DDoS Mirai 系列的代码,但也带来了反分析技术的改进。具体来说,入侵者使用ChaCha流密码加密了主要组件及其相应的Lua脚本。

在8月下旬,Sophos观察到攻击者使用三种恶意组件进行传播,即下载程序,僵尸程序和命令脚本,而其中僵尸程序仅在具 有x86架构的系统上运行。

而在数周前,网络犯罪分子开始使用Elknot滴管来交付其余的Chalubo。更重要的是,Sophos Labs安全研究人员观察了各种bot版本,发现僵尸网络已经可以针对不同的架构进行破坏,包括32位和64位ARM,x86,x86_64,MIPS,MIPSEL和PowerPC。

通过扩展的目标列表,Sophos得出结论,恶意软件入侵者可能最初一直在测试机器人,但是试验已经结束,并且预计这种新威胁的活动将会增加。

9月初,恶意软件通过SSH服务器上的暴力攻击进行分发。Sophos基于对其蜜罐的攻击揭示,攻击者使用root:admin凭证对来破坏设备。

与我们通常从这些类型的攻击中看到的标准Linux机器人相比,这个机器人表现出更高的复杂性。研究人员指出,攻击者不仅使用分层方法来删除恶意组件,而且使用的加密技术并不是我们通常用Linux恶意软件能看到的。

恶意软件下载程序丢弃的文件之一是脚本,执行此操作的方式与Xor.DDoS系列的行为完全匹配。实际上,Chalubo似乎从较旧的恶意软件中复制了负责持久性的代码。

 

此外,研究人员发现Chalubo的作者还复制了Mirai的一些代码片段,包括一些随机函数。但是,新恶意软件系列中的大多数功能代码都是新的,因为作者主要关注使用DNS,UDP和SYN泛洪执行DDoS攻击的Lua处理。

机器人的Lua脚本旨在调用命令和控制(C&C)服务器的主页,以提供受感染机器的详细信息并接收进一步的指令。它还会下载,解密和执行它找到的任何Lua脚本。

“由于这种机器人感染系统的主要方法是通过对SSH服务器使用通用的用户名和密码组合,我们建议SSH服务器的系统管理员(包括嵌入式设备)更改这些设备上的任何默认密码,因为蛮力试图通过常见的,公开的默认密码循环,“Sophos总结道。

来自 “ https://www.securityweek.com/ddos-capable-iot-botn ”,原文链接:http://blog.itpub.net/31545812/viewspace-2217341/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2018-09-19

  • 博文量
    58
  • 访问量
    82644