Le botnet Chalubo est un malware récemment découvert qui a été trouvé pour contenir des fonctionnalités avancées d'autres menaces et utilisées pour DoS (déni de service) campagnes d'attaque. À l'heure actuelle, plusieurs attaques ont été repérés. Notre article donne un aperçu de la façon dont les logiciels malveillants -functions.
Le Chalubo Botnet est un Redoutable DoS Arme
Un nouveau malware dangereux appelé le botnet Chalubo a été découvert par une équipe de chercheurs en sécurité. Plusieurs itérations de celui-ci ont été à l'origine des infections. Les premières versions qui lui sont liés ont été observés retour en Août où trois composants malveillants ont été utilisés lors d'une attaque contre les machines x86. Cela est attribué à une attaque de test précoce qui est probablement un moyen pour les opérateurs pour affiner et ajuster le botnet.
La compte-gouttes Elknot a ensuite été utilisé pour fournir une version plus complète du logiciel malveillant. Les échantillons capturés indiquent qu'il existe plusieurs variantes de disponible - il existe des versions spécialisées pour chaque architecture. Cela rend très efficace contre les serveurs et les périphériques IdO.
En Septembre un changement dans la tactique d'infection a été observée. Au lieu du compte-gouttes le composant malveillant dépendait attaque par force brute contre les services de bureau à distance. Les pirates chargés le script d'infection par les informations d'identification par défaut et souvent utilisé le nom d'utilisateur et mot de passe combinaisons. Les versions mises à jour du botnet Chalubo avancé en vedette code anti-analyse qui les protégeait d'être découverts par les administrateurs et les logiciels de sécurité. Cela se fait en lançant un script hardcoded qui exécute les opérations suivantes:
- Pare-feu de dérivation
- Installation du “wget” télécharger l'utilitaire si elle n'est pas présent.
- Le téléchargement d'un script deuxième étape
- Modification du système
- Suppression des fichiers journaux
Ce qui suit est le déploiement bot réel. Au démarrage, il se connecte à un serveur et un rapport de l'infection réussie contrôlé pirate informatique spécifique. Les instructions de pirates observées était de télécharger d'autres modules en fonction de la configuration de la machine individuelle. Jusqu'à présent, il semble que le botnet Chalubo est utilisé pour effectuer toutes les attaques DoS de base - DNS, inondations UDP et SYN contre une cible donnée. Nous prévoyons que les attaques et les mises à jour supplémentaires à sa base de code continueront. Comme le botnet est basé sur des scripts et le code source accessible au public il y a la possibilité qu'il sera vendu ou échangé sur les marchés des pirates informatiques souterraines. Comme ces versions de progéniture peuvent inclure des modules plus dangereux.