Firmware update της Microsoft προκαλεί σφάλμα σε πολλά Surface μοντέλα!
infosec

Firmware update της Microsoft προκαλεί σφάλμα σε πολλά Surface μοντέλα!

Ένα νέο σφάλμα πλήττει τα Surface της Microsoft, καθώς πρόσφατο firmware update προκαλεί ανακριβής παρουσίαση της διάρκειας ζωής της μπαταρίας...
Read More
infosec

Κυκλοφόρησε ενημέρωση που διορθώνει ευπάθεια σε δημοφιλές plugin του WordPress

Ένας ερευνητής ασφάλειας αποκάλυψε λεπτομέρειες για μια κρίσιμη ευπάθεια σε ένα από τα δημοφιλή και ευρέως ενεργά plugins για το...
Read More
infosec

Group IB: Δυο hacker groups επιτίθενται σε Ρωσικές τράπεζες

Η Group IB εντόπισε μια τεράστια καμπάνια προσποιούμενη την κεντρική τράπεζα της Ρωσίας, με στόχο διάφορα Ρωσικά χρηματοπιστωτικά ιδρύματα. Τα...
Read More
infosec

Bug του Gmail επιτρέπει την τροποποίηση του «From:» header

Ένα Bug που εντοπίστηκε στην δομή του “From:” header του Gmail θα μπορούσε να εμφανίζει μια διαφορετική διεύθυνση email από...
Read More
infosec

Γιατί κλείδωσαν μυστηριωδώς οι λογαριασμοί της Apple;

Πιστεύετε πως επιχείρησε κάποιος να χακάρει τον Apple λογαριασμό σας; Δεν είστε ο μόνος! Από την Τρίτη, πολλοί χρήστες των...
Read More
Latest Posts

Chalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Το Chalubo είναι ένα νέο botnet που έχει ως στόχο servers και IoT συσκευές που δεν είναι σωστά ασφαλισμένες. Όταν αυτά μολυνθούν, γίνονται μέρος του botnet και ξεκινούν επιθέσεις DDoS.

 chalubo mirai xor ddos

Ερευνητές της Sophos δήλωσαν αυτήν την εβδομάδα ότι το Chalubo φαίνεται να μεγαλώνει με γοργούς ρυθμούς καθώς φαίνεται να στοχεύει servers που χρησιμοποιούν την υπηρεσία SSH. Το bot συνδιάζει 2 πολύ βασικά χαρακτηριστικά που έχουμε ξανά δει στο παρελθόν. Αρχικά έχει υιοθετήσει τεχνικές που χρησιμοποιούνται από malware στα Windows ώστε να μπορεί να «κρύψει» την ύπαρξη του. Υστέρα, φαίνεται ότι το εν λόγω botnet χρησιμοποιεί κομμάτια κώδικα από τα XOR.DDoS και Miraa. Το Mirai botnet πριν περίπου 3 χρονιά κατάφερε να θέσει εκτός λειτουργίας πολλές υπηρεσίες σε Αμερική και Ευρώπη.

Οι ίδιοι ερευνητές της Sophos αναλύοντας τον installer το Chalubo , έχουν παρατηρήσει ότι υπάρχουν πολλές διαφορετικές εκδόσεις ώστε να μολύνει όλων των ειδών τα συστήματα, όπως είναι τα 32 και 64 bit ARM συστήματα, X86, X86-64, MIPS, MIPSSEL και PowerPc. Η πρώτη επίθεση που έχει καταγραφθεί από το botnet πήρε μέρος τις τελευταίες μέρες του Αυγούστου, και λίγες μέρες αργότερα, στις 6 Σεπτεμβρίου, η Sophos το εντόπισε σε ένα από τα honeypots της , οπού και πήρε για ανάλυση.

Το Chalubo προσπάθησε να πάρει πρόσβαση στο Honeypot κάνοντας bruteforce, και ενώ οι διαχειριστές του botnet πίστευαν ότι τα κατάφεραν, οι ερευνητές στην πραγματικότητα του έδωσαν σκόπιμα πρόσβαση σε χρήστη με δικαιώματα root, ώστε να δουν τις εντολές που χρησιμοποιούνται για να απενεργοποιηθεί η προστασία του firewall. Το κύριο μέρος του installer ήταν κρυπτογραφημένο, αλλά κατά την εκτέλεση του, ξεχώρισε μια συγκεκριμένη εντολή, το libsdes.

Κατά την εκτέλεση, το libsdes δημιουργεί έναν κενό φάκελο για να μπορεί να καταλάβει ο installer αν έχει ξανά εκτελεστεί στο συγκεκριμένο σύστημα. Υστέρα γίνεται προσπάθεια αντιγραφής του botnet σε έναν νέο φάκελο κάτω από το path /usr/bin/ με τυχαίο όνομα που περιλαμβάνει γράμματα και νούμερα. Ο λόγος της αντιγραφής είναι για να έχει πολλαπλά σημεία από τα οποία μπορεί να εκτελεστεί, σε περίπτωση που τερματιστεί ή που γίνει restart στον server.

“Το συγκεκριμένο bot επιδεικνύει μεγάλη περιπλοκότητα σε σχέση με τα αντίστοιχα bot που κυκλοφορούν για Linux συστήματα.” Αναφέρει η Sophos. “Πέρα από το γεγονός ότι η επίθεση ολοκληρώνεται με πολλαπλά σωστά δομημένα layers, η κρυπτογράφηση που χρησιμοποιείται είναι μια επιπλέον πινελιά που δεν βλέπουμε συχνά”.

Οι ερευνητές της Sophos πιστεύουν ότι  πλησιάζει το τέλος της δοκιμαστικής περιόδου για το Chalubo, και αναμένουν DDoS επιθέσεις μεγάλου εύρους στο σύντομο μέλλον. Τέλος, το μόνο σίγουρο ότι το Chalubo δεν είναι η μοναδική απειλή.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *