Τρίτη, 1 Δεκεμβρίου, 19:35
Αρχική security Chalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Chalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Το Chalubo είναι ένα νέο botnet που έχει ως στόχο servers και IoT συσκευές που δεν είναι σωστά ασφαλισμένες. Όταν αυτά μολυνθούν, γίνονται μέρος του botnet και ξεκινούν επιθέσεις DDoS.

 chalubo mirai xor ddos

Ερευνητές της Sophos δήλωσαν αυτήν την εβδομάδα ότι το Chalubo φαίνεται να μεγαλώνει με γοργούς ρυθμούς καθώς φαίνεται να στοχεύει servers που χρησιμοποιούν την υπηρεσία SSH. Το bot συνδιάζει 2 πολύ βασικά χαρακτηριστικά που έχουμε ξανά δει στο παρελθόν. Αρχικά έχει υιοθετήσει τεχνικές που χρησιμοποιούνται από malware στα Windows ώστε να μπορεί να «κρύψει» την ύπαρξη του. Υστέρα, φαίνεται ότι το εν λόγω botnet χρησιμοποιεί κομμάτια κώδικα από τα XOR.DDoS και Miraa. Το Mirai botnet πριν περίπου 3 χρονιά κατάφερε να θέσει εκτός λειτουργίας πολλές υπηρεσίες σε Αμερική και Ευρώπη.

Οι ίδιοι ερευνητές της Sophos αναλύοντας τον installer το Chalubo , έχουν παρατηρήσει ότι υπάρχουν πολλές διαφορετικές εκδόσεις ώστε να μολύνει όλων των ειδών τα συστήματα, όπως είναι τα 32 και 64 bit ARM συστήματα, X86, X86-64, MIPS, MIPSSEL και PowerPc. Η πρώτη επίθεση που έχει καταγραφθεί από το botnet πήρε μέρος τις τελευταίες μέρες του Αυγούστου, και λίγες μέρες αργότερα, στις 6 Σεπτεμβρίου, η Sophos το εντόπισε σε ένα από τα honeypots της , οπού και πήρε για ανάλυση.

Το Chalubo προσπάθησε να πάρει πρόσβαση στο Honeypot κάνοντας bruteforce, και ενώ οι διαχειριστές του botnet πίστευαν ότι τα κατάφεραν, οι ερευνητές στην πραγματικότητα του έδωσαν σκόπιμα πρόσβαση σε χρήστη με δικαιώματα root, ώστε να δουν τις εντολές που χρησιμοποιούνται για να απενεργοποιηθεί η προστασία του firewall. Το κύριο μέρος του installer ήταν κρυπτογραφημένο, αλλά κατά την εκτέλεση του, ξεχώρισε μια συγκεκριμένη εντολή, το libsdes.

Κατά την εκτέλεση, το libsdes δημιουργεί έναν κενό φάκελο για να μπορεί να καταλάβει ο installer αν έχει ξανά εκτελεστεί στο συγκεκριμένο σύστημα. Υστέρα γίνεται προσπάθεια αντιγραφής του botnet σε έναν νέο φάκελο κάτω από το path /usr/bin/ με τυχαίο όνομα που περιλαμβάνει γράμματα και νούμερα. Ο λόγος της αντιγραφής είναι για να έχει πολλαπλά σημεία από τα οποία μπορεί να εκτελεστεί, σε περίπτωση που τερματιστεί ή που γίνει restart στον server.

“Το συγκεκριμένο bot επιδεικνύει μεγάλη περιπλοκότητα σε σχέση με τα αντίστοιχα bot που κυκλοφορούν για Linux συστήματα.” Αναφέρει η Sophos. “Πέρα από το γεγονός ότι η επίθεση ολοκληρώνεται με πολλαπλά σωστά δομημένα layers, η κρυπτογράφηση που χρησιμοποιείται είναι μια επιπλέον πινελιά που δεν βλέπουμε συχνά”.

Οι ερευνητές της Sophos πιστεύουν ότι  πλησιάζει το τέλος της δοκιμαστικής περιόδου για το Chalubo, και αναμένουν DDoS επιθέσεις μεγάλου εύρους στο σύντομο μέλλον. Τέλος, το μόνο σίγουρο ότι το Chalubo δεν είναι η μοναδική απειλή.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Developers:Day :Digital- Καλύτερες θέσεις εργασίας στις Νέες Τεχνολογίες

Developers:Day :Digital- Καλύτερες θέσεις εργασίας στις Νέες Τεχνολογίες Οι Νέες Τεχνολογίες κερδίζουν έδαφος καθημερινά, ενώ η επιτακτική ανάγκη για απομακρυσμένη εργασία λόγω...

Πώς θα κρατήσετε ασφαλή τον Apple λογαριασμό σας

Ο λογαριασμός Apple ή αλλιώς το Apple ID, είναι απαραίτητος σε κάθε χρήστη καθώς επιτρέπει την πρόσβαση σε διάφορες συσκευές και υπηρεσίες...

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Το Gootkit, ένα trojan που κλέβει πληροφορίες από τα συστήματα των θυμάτων του, κάνει την επανεμφάνισή του στο τοπίο των απειλών, ύστερα...

AspenPointe: Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ υπέστη data breach

Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ “AspenPointe” ενημέρωσε τους ασθενείς του για data breach που προήλθε από μία κυβερνοεπίθεση του Σεπτεμβρίου, με...

Βερμόντ: Τα νοσοκομεία του ακόμα ανακάμπτουν από την επίθεση του Ryuk ransomware

Τα νοσοκομεία του Βερμόντ συνεχίζουν να ανακάμπτουν από τον Οκτώβριο που υπέστησαν επίθεση από το Ryuk ransomware, επαναφέροντας σιγά-σιγά τις υπηρεσίες τους...

Αύξηση των malware που στοχεύουν Docker συστήματα

Προς το τέλος του 2017, οι ερευνητές ασφαλείας παρατήρησαν μια μεγάλη αλλαγή στις malware επιθέσεις. Καθώς οι τεχνολογίες που βασίζονται στο cloud...

Τέσσερις κορυφαίες ευπάθειες στα σημερινά αυτοκίνητα

Τα αυτοκίνητα στις μέρες μας, διαθέτουν αρκετά τεχνολογικά μέσα. Ακόμα και πριν βάλετε μπροστά το αυτοκίνητό σας, εκείνο επικοινωνεί ενεργά με τον...

WebKit: Ευπάθειες επιτρέπουν εκτέλεση κώδικα μέσω κακόβουλων sites

Σύμφωνα με τους ερευνητές ασφαλείας της Cisco Talos, το WebKit browser engine είναι αυτή τη στιγμή ευάλωτο...

ΗΠΑ: Πρώτες στον κόσμο στις παραβιάσεις δεδομένων

Σύμφωνα με μία αναφορά της Uswitch, οι ΗΠΑ κατέχουν την πρώτη θέση στις παραβιάσεις δεδομένων στον κόσμο, ξεπερνώντας την Κίνα, την Ινδία...

Microsoft: Συνδέει κρατικούς hackers του Βιετνάμ με crypto-mining εκστρατεία

Σύμφωνα με μια έκθεση της Microsoft, μια hacking ομάδα που συνδέεται με τη κυβέρνηση του Βιετνάμ, άρχισε να χρησιμοποιεί ένα crypto-mining malware...