DOBERMANN
Гай Ричи
MrLoot
Konstrukt
Frank Vinci
atmservice
probiv
atmservice

Ботнет Chalubo охотится на незащищенные IoT-устройства

DOMINUS

«EDEM CORP» - Старейший сервис Даркнета
Старший модератор
Модератор
Проверенный продавец
Legend user

DOMINUS

«EDEM CORP» - Старейший сервис Даркнета
Старший модератор
Модератор
Проверенный продавец
Legend user
Статус
Offline
Регистрация
20 Дек 2015
Сообщения
4,660
Реакции
418
Депозит
3.000р
Покупки через Гарант
0
Продажи через Гарант
12
Chalubo сочетает фрагменты кодов Xor.DDoS и Mirai.​

В Сети появился новый ботнет, атакующий слабозащищенные устройства из сферы «Интернета вещей», а также SSH-серверы и системы на базе Linux в целях проведения дальнейших DDoS-атак. Ботнет создан на основе вредоносного ПО Chalubo, сочетающего в себе коды вредоносов Xor.DDoS и Mirai, а также техники обфускации, обычно присущие вредоносным программам, предназначенным для атак на Windows.

Аналитики компании Sophos обнаружили несколько версий Chalubo, способных работать на системах с различными архитектурами процессоров (x86, x86_64, MIPS, MIPSEL, PowerPC, 32-, 64-разрядные ARM). Chalubo содержит загрузчик Elknot и командный скрипт на языке Lua, зашифрованные с помощью алгоритма ChaCha. Исследователям удалось проследить атаку на одну из установленных ими «приманок». Наиболее интересной оказалась команда libsdes. При исполнении она создает пустой файл для ограничения выполнения кода одним разом. Затем вредонос сохраняет свои копии в каталоге /usr/bin/, создавая «ветки», которые помогают ему сохранить присутствие на системе после перезагрузки. Код вредоноса содержит фрагменты исходного кода Mirai, но в основном он новый, отмечают исследователи.

Первые атаки ботнета были зафиксированы в конце августа нынешнего года. Как полагают эксперты, операторы Chalubo завершают фазу тестирования и, вполне вероятно, в будущем стоит ожидать более масштабных атак с использованием данного ботнета.

 
Сверху