Descubierto MalwareMustDie LuaBot, un troyano completamente codificado en lenguaje Lua que se dirige a las plataformas Linux para reclutarlos como DDoS botnet
El malware se denomina Linux / Luabot por está escrito en el lenguaje de programación Lua (versión 5.3.0) y se dirige a los sistemas basados en Linux.
Lua es un lenguaje de programación multi-paradigma ligero, es multiplataforma ya que está escrito en ANSI C. Fue diseñado principalmente para sistemas embebidos y clientes. Los servidores web y dispositivos Internet de los objetos (IO) son blancos privilegiados de la red de bots Linux / Lua.
El análisis de la binaria reveló la firma de la matriz de la muestra RSA-4096 certificado, que es un vestigio de la certificación MatrixSSL utilizado por los clientes bot para establecer conexiones HTTPS seguras.
El binario también se incluye librerías de código del MatrixSSL para las operaciones de cifrado y MalwareMustDie también notó que incluye el mensaje de un codificador codificada ("Hola feliz de marcha atrás, se puede enviar por correo:.. [Dirección de correo electrónico .ru EXPURGADO]")
El robot se controla mediante un servidor C & C alojada en los Países Bajos en la infraestructura del servicio de alojamiento de servidor dedicado WorldStream.NL.
MalwareMustDie también descubrió una porción de código marcado como "penetrate_sucuri," probable referencia a la aplicación del mecanismo de evitación de que son capaces de eludir la popular Sucuri Web Application Firewall.
El investigador no tiene dudas, esta es una botnet muy complejo y eficaz, el autor de la botnet Linux / Lua implementado una interfaz de comandos que podría ser explotado para ejecutar comandos remotos encriptado.
"El hacker puede hacer muchas cosas con ella a través de comandos remotos encriptados los robots a través de esta interfaz de comandos, por lo que este robot puede ser utilizado para la ejecución del guión. Así que una de las funciones botnet es la ejecución remota a través de esta interfaz. "Afirma el análisis.
Una prueba rápida en el servicio de escaneo en línea VirusTotal demostró que el binario todavía no fue detectado totalmente Estado (FUD) en el momento del análisis.
MalwareMustDie recibió después de su primer análisis del componente DDoS utilizado por la red de bots Linux / Lua, que era el componente que falta que estaba buscando. También en este caso, el módulo fue escrito en Lua y tiene tasa de detección de cero.
"Esta muestra [ enlace ] está explicando el" eslabón perdido " de la función de DDoS se espera de esta botnet. Este módulo se codificó en Lua y utilizando el mismo entorno de compilación estática, con una relación de detección de cero también. Este ELF adicional podría ser "la carga útil" que estamos esperando. Este módulo está explicando un montón de detalles sobre cómo se lleva a cabo el ataque, un simple descarga y ejecución de comandos ejecutados por los nodos infectados de acceso remoto a través de cáscaras o de interfaz de línea de comando interno es suficiente para desencadenar este ataque. ", Explicaron los investigadores.
De acuerdo con MalwareMustDie el número de malware ELF que están saliendo a la superficie a través de Internet está creciendo rápidamente. "Hay un montón de nuevo malware ELF y viniendo al acecho nuestra red recientemente y que golpea fuera de Linux IO y servicios de capa de mal."
Los datos se confirma también por la investigación llevada a cabo por otros equipos de investigación, una investigación conjunta llevada a cabo por Level 3 Communications y Flashpoint permitió la identificación de un millón de dispositivos infectados por el Bashlite malware.
El BASHLITE software malicioso incluye el código de la ShellShock y que había sido utilizado por los hackers para amenazas en la naturaleza para funcionar (distribuidos de denegación de servicio DDoS ).
Se podría infectar múltiples arquitecturas de Linux, por esta razón, los ladrones utilizaban para enviar a Internet de los objetos dispositivos.
En junio, los expertos de la empresa de seguridad Sucuri detectaron una red de bots compuesto por decenas de miles de dispositivos de circuito cerrado de televisión que habían sido utilizados por los delincuentes para lanzar ataques DDoS contra sitios web.
