De Chalubo botnet is een recent ontdekte malware die is gevonden om de geavanceerde functies van andere bedreigingen bevatten en worden gebruikt voor DoS (denial-of-service) aanval campagnes. Op dit moment verschillende aanvallen slechtzienden zijn geweest. Ons artikel geeft een overzicht van hoe de malware -functies.
De Chalubo Botnet is een geduchte DoS Weapon
Een nieuwe gevaarlijke malware genaamd de Chalubo botnet is ontdekt door een team van security onderzoekers. Verschillende iteraties ervan zijn gevonden om infecties te veroorzaken. De eerste versies die eraan gekoppeld zijn waargenomen in augustus waar drie kwaadaardige componenten werden gebruikt in een aanval tegen x86-machines. Dit wordt toegeschreven aan een vroege testen aanval die waarschijnlijk is een manier voor de operatoren te fine-tunen en tweaken het botnet.
Het Elknot dropper werd later gebruikt om een volledige versie van de malware te leveren. De gevangen genomen monsters blijkt dat er verschillende varianten van deze beschikbaar - er zijn gespecialiseerde versies voor elke architectuur. Dit maakt het zeer effectief tegen zowel servers als ivd-apparaten.
In september een verschuiving in de infectie tactiek werd waargenomen. In plaats van de druppelaar de kwaadaardige component afhing brute force-aanvallen tegen remote desktop services. De hackers geladen de infectie script met de standaard referenties en vaak gebruikt gebruikersnaam en wachtwoord combinaties. Bijgewerkte versies van de Chalubo botnet gekenmerkte geavanceerde anti-analyse code die hen beschermd tegen ontdekt door zowel beheerders als beveiligingssoftware. Dit wordt gedaan door de lancering van een hardcoded script dat de volgende handelingen uitvoert:
- firewall Bypass
- Installatie van de “wget” downloaden nut als het niet aanwezig is.
- Het downloaden van een tweede-fase script
- System Wijziging
- Log Files Removal
Wat volgt is de werkelijke bot deployment. Toen begon het zal aansluiten op een specifieke-hacker gecontroleerde server en het verslag van de succesvolle infectie. De waargenomen hacker instructies zou andere modules gelang van de apparaatconfiguratie downloaden. Tot nu toe lijkt het erop dat de Chalubo botnet wordt gebruikt om alle elementaire DoS-aanvallen uit te voeren - DNS, UDP en SYN overstromingen tegen een gegeven doel. We verwachten dat de aanvallen en de verdere verbeteringen aan de code base zal blijven. Zoals het botnet is gebaseerd op scripts en algemeen beschikbare broncode is er de mogelijkheid dat het zal worden verkocht of verhandeld op de ondergrondse hacker marktplaatsen. Als zodanig nakomelingen versies kunnen bevatten gevaarlijker modules.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: