15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
Latest Posts

Chalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Το Chalubo είναι ένα νέο botnet που έχει ως στόχο servers και IoT συσκευές που δεν είναι σωστά ασφαλισμένες. Όταν αυτά μολυνθούν, γίνονται μέρος του botnet και ξεκινούν επιθέσεις DDoS.

 chalubo mirai xor ddos

Ερευνητές της Sophos δήλωσαν αυτήν την εβδομάδα ότι το Chalubo φαίνεται να μεγαλώνει με γοργούς ρυθμούς καθώς φαίνεται να στοχεύει servers που χρησιμοποιούν την υπηρεσία SSH. Το bot συνδιάζει 2 πολύ βασικά χαρακτηριστικά που έχουμε ξανά δει στο παρελθόν. Αρχικά έχει υιοθετήσει τεχνικές που χρησιμοποιούνται από malware στα Windows ώστε να μπορεί να «κρύψει» την ύπαρξη του. Υστέρα, φαίνεται ότι το εν λόγω botnet χρησιμοποιεί κομμάτια κώδικα από τα XOR.DDoS και Miraa. Το Mirai botnet πριν περίπου 3 χρονιά κατάφερε να θέσει εκτός λειτουργίας πολλές υπηρεσίες σε Αμερική και Ευρώπη.

Οι ίδιοι ερευνητές της Sophos αναλύοντας τον installer το Chalubo , έχουν παρατηρήσει ότι υπάρχουν πολλές διαφορετικές εκδόσεις ώστε να μολύνει όλων των ειδών τα συστήματα, όπως είναι τα 32 και 64 bit ARM συστήματα, X86, X86-64, MIPS, MIPSSEL και PowerPc. Η πρώτη επίθεση που έχει καταγραφθεί από το botnet πήρε μέρος τις τελευταίες μέρες του Αυγούστου, και λίγες μέρες αργότερα, στις 6 Σεπτεμβρίου, η Sophos το εντόπισε σε ένα από τα honeypots της , οπού και πήρε για ανάλυση.

Το Chalubo προσπάθησε να πάρει πρόσβαση στο Honeypot κάνοντας bruteforce, και ενώ οι διαχειριστές του botnet πίστευαν ότι τα κατάφεραν, οι ερευνητές στην πραγματικότητα του έδωσαν σκόπιμα πρόσβαση σε χρήστη με δικαιώματα root, ώστε να δουν τις εντολές που χρησιμοποιούνται για να απενεργοποιηθεί η προστασία του firewall. Το κύριο μέρος του installer ήταν κρυπτογραφημένο, αλλά κατά την εκτέλεση του, ξεχώρισε μια συγκεκριμένη εντολή, το libsdes.

Κατά την εκτέλεση, το libsdes δημιουργεί έναν κενό φάκελο για να μπορεί να καταλάβει ο installer αν έχει ξανά εκτελεστεί στο συγκεκριμένο σύστημα. Υστέρα γίνεται προσπάθεια αντιγραφής του botnet σε έναν νέο φάκελο κάτω από το path /usr/bin/ με τυχαίο όνομα που περιλαμβάνει γράμματα και νούμερα. Ο λόγος της αντιγραφής είναι για να έχει πολλαπλά σημεία από τα οποία μπορεί να εκτελεστεί, σε περίπτωση που τερματιστεί ή που γίνει restart στον server.

“Το συγκεκριμένο bot επιδεικνύει μεγάλη περιπλοκότητα σε σχέση με τα αντίστοιχα bot που κυκλοφορούν για Linux συστήματα.” Αναφέρει η Sophos. “Πέρα από το γεγονός ότι η επίθεση ολοκληρώνεται με πολλαπλά σωστά δομημένα layers, η κρυπτογράφηση που χρησιμοποιείται είναι μια επιπλέον πινελιά που δεν βλέπουμε συχνά”.

Οι ερευνητές της Sophos πιστεύουν ότι  πλησιάζει το τέλος της δοκιμαστικής περιόδου για το Chalubo, και αναμένουν DDoS επιθέσεις μεγάλου εύρους στο σύντομο μέλλον. Τέλος, το μόνο σίγουρο ότι το Chalubo δεν είναι η μοναδική απειλή.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *