新物联网僵尸网络Chalubo出现

Sophos实验室的安全专家发现了一种新的Linux恶意软件，名为Chalubo (ChaCha-Lua-bot)，它瞄准的是物联网设备，试图将其招募到一个僵尸网络中，该网络被用来发动DDoS攻击。

新的IoT恶意软件借用了Xor的代码。DDoS和Mirai机器人，它还实现了新的逃税技术，例如，作者已经加密的主要组件和相应的Lua脚本使用ChaCha流密码。

“自9月初以来，SophosLabs一直在监视针对基于linux系统上的面向互联网的SSH服务器的越来越多的攻击，这些攻击减少了一个新发现的拒绝服务机器人家族，我们称之为Chalubo。Sophos实验室的分析报告中写道。

“攻击者使用ChaCha流密码加密了主要的bot组件及其对应的Lua脚本。”

恶意软件在8月底首次被发现，当时操作人员发布命令，命令设备下载由三个组件组成的恶意代码，一个下载器，一个主机器人，和Lua命令脚本。攻击者在SSH服务器上使用蛮力攻击(使用root:admin凭证)来分发恶意软件。

“对我们的蜜罐进行这种简单的攻击是很常见的，但最突出的是libsdes的样本。分析继续说道。

“与我们通常看到的从这些类型的攻击中交付的标准Linux机器人相比，这种机器人显示出更高的复杂性。攻击者不仅使用分层的方法删除恶意组件，而且使用的加密方式也不是我们通常看到的Linux恶意软件。

chalubo

IoT恶意软件只在x86架构的系统上运行。

从10月中旬开始，操作人员已经发出命令，检索Elknot滴管，用于交付Chalubo (ChaCha-Lua-bot)包的其余部分。

最重要的新颖之处在于发现了各种各样的bot版本，这些版本的设计目标是不同的体系结构，包括32位和64位ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。

这种情况让人相信，攻击者在8月份测试了这款机器人，现在正在扩大当前行动的潜在目标名单。

专家们注意到，下载器也会以同样的方式删除一个脚本，即Xor。DDoS bot家族的确如此，很可能是作者借用了旧威胁的代码。攻击者还复制了一些臭名昭著的Mirai bot的代码片段，比如一些随机函数和util_local_addr函数的扩展形式。

研究人员注意到，bot中的大部分代码都是新的，作者将重点放在了自己的Lua处理上，以便使用DNS、UDP和SYN功能启动DoS攻击。

机器人的Lua脚本首先连接命令和控制(C&C)服务器，提供感染机器的详细信息并接收进一步的指令。脚本还会下载、解密和执行它找到的任何Lua脚本。

为了减轻这种威胁，专家建议SSH服务器(包括物联网设备)的系统管理员更改这些系统上的任何默认密码。

Sophos发表的分析报告报告了更多细节，包括IoCs。