Σάββατο, 27 Φεβρουαρίου, 04:08
Αρχική security Chalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Chalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Το Chalubo είναι ένα νέο botnet που έχει ως στόχο servers και IoT συσκευές που δεν είναι σωστά ασφαλισμένες. Όταν αυτά μολυνθούν, γίνονται μέρος του botnet και ξεκινούν επιθέσεις DDoS.

 chalubo mirai xor ddos

Ερευνητές της Sophos δήλωσαν αυτήν την εβδομάδα ότι το Chalubo φαίνεται να μεγαλώνει με γοργούς ρυθμούς καθώς φαίνεται να στοχεύει servers που χρησιμοποιούν την υπηρεσία SSH. Το bot συνδιάζει 2 πολύ βασικά χαρακτηριστικά που έχουμε ξανά δει στο παρελθόν. Αρχικά έχει υιοθετήσει τεχνικές που χρησιμοποιούνται από malware στα Windows ώστε να μπορεί να «κρύψει» την ύπαρξη του. Υστέρα, φαίνεται ότι το εν λόγω botnet χρησιμοποιεί κομμάτια κώδικα από τα XOR.DDoS και Miraa. Το Mirai botnet πριν περίπου 3 χρονιά κατάφερε να θέσει εκτός λειτουργίας πολλές υπηρεσίες σε Αμερική και Ευρώπη.

Οι ίδιοι ερευνητές της Sophos αναλύοντας τον installer το Chalubo , έχουν παρατηρήσει ότι υπάρχουν πολλές διαφορετικές εκδόσεις ώστε να μολύνει όλων των ειδών τα συστήματα, όπως είναι τα 32 και 64 bit ARM συστήματα, X86, X86-64, MIPS, MIPSSEL και PowerPc. Η πρώτη επίθεση που έχει καταγραφθεί από το botnet πήρε μέρος τις τελευταίες μέρες του Αυγούστου, και λίγες μέρες αργότερα, στις 6 Σεπτεμβρίου, η Sophos το εντόπισε σε ένα από τα honeypots της , οπού και πήρε για ανάλυση.

Το Chalubo προσπάθησε να πάρει πρόσβαση στο Honeypot κάνοντας bruteforce, και ενώ οι διαχειριστές του botnet πίστευαν ότι τα κατάφεραν, οι ερευνητές στην πραγματικότητα του έδωσαν σκόπιμα πρόσβαση σε χρήστη με δικαιώματα root, ώστε να δουν τις εντολές που χρησιμοποιούνται για να απενεργοποιηθεί η προστασία του firewall. Το κύριο μέρος του installer ήταν κρυπτογραφημένο, αλλά κατά την εκτέλεση του, ξεχώρισε μια συγκεκριμένη εντολή, το libsdes.

Κατά την εκτέλεση, το libsdes δημιουργεί έναν κενό φάκελο για να μπορεί να καταλάβει ο installer αν έχει ξανά εκτελεστεί στο συγκεκριμένο σύστημα. Υστέρα γίνεται προσπάθεια αντιγραφής του botnet σε έναν νέο φάκελο κάτω από το path /usr/bin/ με τυχαίο όνομα που περιλαμβάνει γράμματα και νούμερα. Ο λόγος της αντιγραφής είναι για να έχει πολλαπλά σημεία από τα οποία μπορεί να εκτελεστεί, σε περίπτωση που τερματιστεί ή που γίνει restart στον server.

“Το συγκεκριμένο bot επιδεικνύει μεγάλη περιπλοκότητα σε σχέση με τα αντίστοιχα bot που κυκλοφορούν για Linux συστήματα.” Αναφέρει η Sophos. “Πέρα από το γεγονός ότι η επίθεση ολοκληρώνεται με πολλαπλά σωστά δομημένα layers, η κρυπτογράφηση που χρησιμοποιείται είναι μια επιπλέον πινελιά που δεν βλέπουμε συχνά”.

Οι ερευνητές της Sophos πιστεύουν ότι  πλησιάζει το τέλος της δοκιμαστικής περιόδου για το Chalubo, και αναμένουν DDoS επιθέσεις μεγάλου εύρους στο σύντομο μέλλον. Τέλος, το μόνο σίγουρο ότι το Chalubo δεν είναι η μοναδική απειλή.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Λος Άντζελες: Ιπτάμενα αυτοκίνητα στον ουρανό της πόλης μέχρι το 2024

Ένα βήμα πιο κοντά στο να γίνουν πραγματικότητα, βρίσκονται τώρα τα ιπτάμενα αυτοκίνητα, καθώς ένας από τους μεγαλύτερους παίκτες στον τομέα δεσμεύθηκε...

Πως να αποκρύψετε το Tab bar στο Safari για iPad (ή να το επαναφέρετε)

Από προεπιλογή, το Safari για iPad εμφανίζει μια γραμμή εργαλείων γεμάτη browser tabs όταν έχετε περισσότερες από μία καρτέλες ανοιχτές. Εάν προτιμάτε...

Ο Bill Gates λέει ότι προτιμά τα Android smartphone αντί των iPhone

Ο συνιδρυτής της Microsoft, Bill Gates, αυτή την εβδομάδα συμμετείχε στην πρώτη του συνάντηση με την εταιρεία Clubhouse, η οποία διαθέτει την...

Κυβερνοεγκληματίες προσφέρουν hacking υπηρεσίες σε κυβερνήσεις

Hacking ομάδες που εμπλέκονται σε διάφορα εγκλήματα στον κυβερνοχώρο, είναι πλέον τόσο εξειδικευμένες, που οι κυβερνήσεις κρατών τις χρησιμοποιούν για δικές τους...

Η Intel διόρθωσε σφάλματα στους drivers Wi-Fi και Wireless Bluetooth

Η Intel έχει αντιμετωπίσει ζητήματα στους drivers Wi-Fi και Wireless Bluetooth που προκαλούν σφάλματα BSOD στα Windows 10 και στις συσκευές Bluetooth...
00:03:10

Hyundai: Η ανάκληση 82.000 ηλεκτρικών οχημάτων θα είναι μια από τις πιο ακριβές στην ιστορία

https://www.youtube.com/watch?v=TJxiFe0HESw Η Hyundai θα ανακαλέσει 82.000 ηλεκτρικά αυτοκίνητα για να αντικαταστήσει τις μπαταρίες τους, καθώς έγιναν 15...
00:02:35

Το Star Wars: Republic Commando έρχεται σε PS4 και Nintendo Switch

https://www.youtube.com/watch?v=b1whMXAa8p8 Ήταν το 1977 όταν ο George Lucas μας έβαλε στον φανταστικό κόσμο του Star Wars, μέσω...

Npower: Απενεργοποιεί mobile app μετά από credential stuffing επιθέσεις

Μία από τις μεγαλύτερες εταιρείες ενέργειας του Ηνωμένου Βασιλείου, η Npower, αναγκάστηκε να απενεργοποιήσει το mobile app της, όταν έμαθε για μια...
00:10:11

Εικονική πραγματικότητα (VR): Τί είναι και πώς αλλάζει τη ζωή μας;

Συχνά ακούμε τον όρο Εικονική Πραγματικότητα (VR) σε καινοτομίες που αφορούν τον χώρο του gaming. Ωστόσο, αυτή η τεχνολογία δεν περιορίζεται μόνο...

Η γιγαντιαία εταιρεία Sequoia Capital αποκαλύπτει παραβίαση δεδομένων

Η αμερικανική εταιρεία VC, Sequoia Capital, αποκαλύπτει ότι δέχτηκε μια hacking επίθεση. Από την ίδρυση της το 1972, η εταιρεία επιχειρηματικών κεφαλαίων...