Se ha observado un malware de Linux recién descubierto al atacar e infectar un servidor SSH honeypot con una nueva cepa de robot de Denegación de Servicio (DoS) llamada Chalubo y utilizada por los actores malos para realizar ataques a gran escala de Denegación de Servicio (DDoS).
Como descubrió Timothy Easton de Sophos, los actores detrás del bot Chalubo usan el código de las familias de malware Xor.DDoS y Mirai y cifran el bot con la ayuda del cifrado de flujo ChaCha.
Este tipo de técnica de ofuscación está diseñada para obstruir el análisis, un rasgo común del malware desarrollado para la plataforma de Windows, pero que rara vez se ve cuando se trata de herramientas malintencionadas de Linux.
Sophos observó inicialmente la botnet Chalubo en acción a fines de agosto de 2018 cuando los atacantes utilizaban un método de propagación basado en tres componentes (es decir, un descargador, el bot y un script de comandos), mientras que en octubre el robot DDoS se propagaba utilizando El cuentagotas Elknot que descarga la carga útil de Chalubo.
Además, mientras que al inicio del ataque los autores de Chalubo lo diseñaron para apuntar solo a plataformas x86, en octubre la botnet ya ha evolucionado para infiltrarse y comprometer las arquitecturas ARM de 32 y 64 bits, x86, x86_64, MIPS, MIPSEL y PowerPC.
El bot Chalubo se actualiza continuamente con nuevas características y soporte para nuevas arquitecturas
"Registramos el ataque el 6 de septiembre de 2018 con el bot intentando dañar las credenciales de inicio de sesión de fuerza bruta contra un servidor SSH; nuestros honeypots presentan al atacante la apariencia de un shell real que acepta una amplia gama de credenciales", dijo Sophos. "Los atacantes usaron la combinación de root: admin para obtener un shell ... o al menos, eso es lo que pensaron".
Una vez que el servidor SSH está comprometido, la secuencia de comandos descargadora descargará la carga útil binaria Chalubo ELF que descifra mediante el módulo de descifrado ChaCha.
Posteriormente, la carga útil se desarchivará con la ayuda de LZMA y se ejecutará utilizando el programa execve, preparando al servidor para recibir comandos que lo harían parte de la red de bots DDoS.
Dado que los actores detrás de Chalubo usan combinaciones predeterminadas de usuario / contraseña para forzar su entrada en los servidores SSH, la forma más fácil de proteger sus máquinas es cambiar sus contraseñas predeterminadas a personalizadas o usar claves SSH si es posible.
Fecha actualización el 2021-10-24. Fecha publicación el 2018-10-24. Categoría: DDoS Botnet Autor: Oscar olg Mapa del sitio Fuente: softpedia