ΑρχικήsecurityChalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Chalubo Botnet: Νέο botnet με χαρακτηριστικά από τα Mirai και Xor.DDoS

Το Chalubo είναι ένα νέο botnet που έχει ως στόχο servers και IoT συσκευές που δεν είναι σωστά ασφαλισμένες. Όταν αυτά μολυνθούν, γίνονται μέρος του botnet και ξεκινούν επιθέσεις DDoS.

 chalubo mirai xor ddos

Ερευνητές της Sophos δήλωσαν αυτήν την εβδομάδα ότι το Chalubo φαίνεται να μεγαλώνει με γοργούς ρυθμούς καθώς φαίνεται να στοχεύει servers που χρησιμοποιούν την υπηρεσία SSH. Το bot συνδιάζει 2 πολύ βασικά χαρακτηριστικά που έχουμε ξανά δει στο παρελθόν. Αρχικά έχει υιοθετήσει τεχνικές που χρησιμοποιούνται από malware στα Windows ώστε να μπορεί να «κρύψει» την ύπαρξη του. Υστέρα, φαίνεται ότι το εν λόγω botnet χρησιμοποιεί κομμάτια κώδικα από τα XOR.DDoS και Miraa. Το Mirai botnet πριν περίπου 3 χρονιά κατάφερε να θέσει εκτός λειτουργίας πολλές υπηρεσίες σε Αμερική και Ευρώπη.

Οι ίδιοι ερευνητές της Sophos αναλύοντας τον installer το Chalubo , έχουν παρατηρήσει ότι υπάρχουν πολλές διαφορετικές εκδόσεις ώστε να μολύνει όλων των ειδών τα συστήματα, όπως είναι τα 32 και 64 bit ARM συστήματα, X86, X86-64, MIPS, MIPSSEL και PowerPc. Η πρώτη επίθεση που έχει καταγραφθεί από το botnet πήρε μέρος τις τελευταίες μέρες του Αυγούστου, και λίγες μέρες αργότερα, στις 6 Σεπτεμβρίου, η Sophos το εντόπισε σε ένα από τα honeypots της , οπού και πήρε για ανάλυση.

Το Chalubo προσπάθησε να πάρει πρόσβαση στο Honeypot κάνοντας bruteforce, και ενώ οι διαχειριστές του botnet πίστευαν ότι τα κατάφεραν, οι ερευνητές στην πραγματικότητα του έδωσαν σκόπιμα πρόσβαση σε χρήστη με δικαιώματα root, ώστε να δουν τις εντολές που χρησιμοποιούνται για να απενεργοποιηθεί η προστασία του firewall. Το κύριο μέρος του installer ήταν κρυπτογραφημένο, αλλά κατά την εκτέλεση του, ξεχώρισε μια συγκεκριμένη εντολή, το libsdes.

Κατά την εκτέλεση, το libsdes δημιουργεί έναν κενό φάκελο για να μπορεί να καταλάβει ο installer αν έχει ξανά εκτελεστεί στο συγκεκριμένο σύστημα. Υστέρα γίνεται προσπάθεια αντιγραφής του botnet σε έναν νέο φάκελο κάτω από το path /usr/bin/ με τυχαίο όνομα που περιλαμβάνει γράμματα και νούμερα. Ο λόγος της αντιγραφής είναι για να έχει πολλαπλά σημεία από τα οποία μπορεί να εκτελεστεί, σε περίπτωση που τερματιστεί ή που γίνει restart στον server.

“Το συγκεκριμένο bot επιδεικνύει μεγάλη περιπλοκότητα σε σχέση με τα αντίστοιχα bot που κυκλοφορούν για Linux συστήματα.” Αναφέρει η Sophos. “Πέρα από το γεγονός ότι η επίθεση ολοκληρώνεται με πολλαπλά σωστά δομημένα layers, η κρυπτογράφηση που χρησιμοποιείται είναι μια επιπλέον πινελιά που δεν βλέπουμε συχνά”.

Οι ερευνητές της Sophos πιστεύουν ότι  πλησιάζει το τέλος της δοκιμαστικής περιόδου για το Chalubo, και αναμένουν DDoS επιθέσεις μεγάλου εύρους στο σύντομο μέλλον. Τέλος, το μόνο σίγουρο ότι το Chalubo δεν είναι η μοναδική απειλή.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS