Các nhà nghiên cứu từ hãng bảo mật mạng Sophos cho biết tuần này botnet đang trở nên “ngày càng sung mãn” và đang nỗ lực nhắm mục tiêu các máy chủ SSH kết nối với Internet trên các hệ thống dựa trên Linux cùng với các sản phẩm IoT.
Bot Chalubo chính không chỉ áp dụng kỹ thuật obfuscation thường được tìm thấy trong phần mềm độc hại Windows mà còn sử dụng mã từ Xor.DDoS và Mirai, botnet thứ hai trong số đó chịu trách nhiệm thực hiện các dịch vụ Internet trên khắp nước Mỹ và châu Âu cách đây ba năm.
Chalubo chứa trình tải xuống, bot chính - chạy trên các hệ thống có kiến trúc bộ vi xử lý x86 và tập lệnh Lua. Trình tải xuống là Elknot, trước đây đã được liên kết với botnet Elasticsearch.
Các phiên bản khác nhau của bot đã được phát hiện bởi các nhà nghiên cứu hoạt động trên các bộ xử lý khác - chẳng hạn như ARM 32 và 64 bit, x86, x86_64, MIPS, MIPSEL và PowerPC - mà nhóm đề xuất “có thể đang ở giai đoạn kết thúc thử nghiệm.”
Cuộc tấn công đã bắt đầu vào cuối tháng Tám, và một cuộc tấn công tiếp theo tại một honeypot Sophos vào ngày 06 tháng 9 đã cho công ty một cái nhìn sâu sắc vào khả năng của bot mới.
Chalubo đã cố gắng tấn công các thông tin của honeypot, và trong khi những kẻ tấn công tin rằng chúng có thể có được một shell thông qua root admin, thì các nhà nghiên cứu đã âm thầm ghi lại cách chúng sử dụng lệnh để “ngừng” bảo vệ tường lửa và cài đặt các phần mềm độc hại.
Thành phần bot chính và tập lệnh Lua tương ứng được mã hóa bằng mật mã dòng ChaCha, và khi cuộc tấn công vào honeypot được khởi chạy, một lệnh - libsdes cụ thể được khỏi chạy.
Khi thực hiện, libsdes tạo ra một tệp rỗng để ngăn chặn phần mềm độc hại thực hiện nhiều lần. Các botnet sau đó cố gắng để sao chép chính nó với một chuỗi ngẫu nhiên các chữ cái và số trong / usr / bin /, forking chính nó để tạo ra nhiều điểm chốt để tồn tại một khởi động lại.
“Bot này thể hiện sự phức tạp gia tăng so với các chương trình Linux chuẩn mà chúng ta thường thấy từ các loại tấn công này”, Sophos nói. “Không chỉ những kẻ tấn công sử dụng phương pháp phân lớp để loại bỏ các thành phần độc hại, mà mã hóa được sử dụng không phải là một phần mềm mà chúng ta thường thấy với phần mềm độc hại Linux.”
Bản thân bot chứa các đoạn mã của Mirai nhưng phần lớn mã là mới. Tập lệnh Lua giao tiếp với máy chủ, ra lệnh và kiểm soát (C2) botnet và sẽ tải xuống, giải mã và thực thi bất kỳ tập lệnh bổ sung nào mà nó tìm thấy.
Mẫu lệnh Lua mà Sophos thu được được thiết kế để nhắc bot thực hiện tấn công SYN flood, một loại DoS gửi gói SYN với tốc độ gói tin cao trong một nỗ lực để áp đảo hệ thống.
Trong trường hợp mới đây, một địa chỉ IP của Trung Quốc đã được nhắm mục tiêu.
Sophos hy vọng rằng khi botnet xuất hiện để kết thúc giai đoạn thử nghiệm, chúng ta có thể chờ đợi các cuộc tấn công lan rộng hơn từ botnet này trong tương lai. Tuy nhiên, Chalubo là mối đe dọa botnet duy nhất cho đến thời điểm này.
Vào tháng 9, các nhà nghiên cứu từ Avast đã tiết lộ sự tồn tại của Torii, một botnet được đánh giá là “một botnet cấp cao hơn bất cứ thứ gì chúng ta đã thấy trước đây” - bao gồm cả Mirai.