Chalubo DDoS殭屍網路使用暴力攻擊破壞Linux SSH伺服器
在攻擊和感染SSH伺服器蜜罐時,觀察到一種新發現的Linux惡意軟體,其中一種新的拒絕服務(DoS)殭屍病毒被稱為Chalubo,並被壞人用來執行大規模的分散式拒絕服務(DDoS)攻擊。
正如 ofollow,noindex">Sophos的Timothy Easton所發現 的那樣,Chalubo機器人背後的入侵者使用來自Xor.DDoS和Mirai惡意軟體系列的程式碼,他們在ChaCha流密碼的幫助下對機器人進行加密。
這種型別的混淆技術旨在阻礙分析,這是針對Windows平臺開發的惡意軟體的常見特徵,但在涉及Linux惡意工具時卻很少見到。
Sophos最初在2018年8月底觀察到了Chalubo殭屍網路,當時攻擊者正在使用基於三個元件的傳播方法(即下載程式,殭屍程式和命令指令碼),而在10月份,DDoS殭屍程式正在使用下載Chalubo有效載荷的Elknot滴管。
此外,在攻擊開始時,Chalubo的作者將其設計為僅針對x86平臺,10月份殭屍網路已經發展為滲透並破壞了32位和64位ARM,x86,x86_64,MIPS,MIPSEL和PowerPC架構。
Chalubo機器人不斷更新,具有新功能和對新架構的支援
“我們在2018年9月6日記錄了攻擊,機器人試圖對SSH伺服器強制登入憑證;我們的蜜罐為攻擊者提供了一個接受各種憑證的真實外殼,”Sophos說。 “攻擊者使用root:admin的組合來獲得一個shell ......或者至少,這就是他們的想法。”
一旦SSH伺服器遭到破壞,dropper指令碼將下載Chalubo ELF二進位制有效負載,並使用ChaCha解密模組對其進行解密。
隨後,有效載荷將在LZMA的幫助下解除歸檔,並使用execve程式執行,使伺服器準備接收將使其成為DDoS殭屍網路一部分的命令。
鑑於Chalubo背後的入侵者使用預設使用者/密碼組合來強制進入SSH伺服器,保護機器的最簡單方法是將其預設密碼更改為自定義密碼或儘可能使用SSH金鑰。
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址: https://www.linuxidc.com/Linux/2018-10/154991.htm