行业新闻与博客

僵尸网络越来越普遍，  SophosLabs 发现了一种用于分布式拒绝服务（DDoS）攻击的新型拒绝服务（DoS）机器人系列。根据 SophosLabs 的说法，这个名为 Chalubo 的家族已被用于针对基于 Linux 的系统上面向互联网的 SSH 服务器的攻击。

使用 ChaCha 流密码，攻击者加密机器人及其 Lua 脚本，研究人员表示这是 Linux 恶意软件发展的一个标志。反分析技术是更常用于阻止 Windows 恶意软件检测的原则，尽管 Chalubo 确实整合了 Xor DDoS 和其他 Mirai 恶意软件系列的代码。

Chalubo 家族于 2018 年 9 月 6 日袭击了 SophosLabs 蜜罐，当时研究人员注意到该机器人试图对 SSH 服务器强制登录凭据。在获得他们认为可以访问的内容之后，攻击者发布了一系列命令，揭示了僵尸程序的复杂性，使用分层方法丢弃恶意组件，这种加密方式不是典型的 Linux 恶意软件。

在最初分析时，恶意软件有三个组件：下载程序，主机器人和Lua命令脚本。据 Sophos News 报道，自检测到以来，攻击者已经添加了“检索 Elknot dropper（检测为Linux / DDoS-AZ）的命令，而这些命令又提供 Chalubo（ChaCha-Lua-bot）软件包的其余部分” 。

此外，我们现在看到各种机器人版本在不同的处理器架构上运行，包括 32 位和 64 位 ARM，x86，x86_64，MIPS，MIPSEL 和 PowerPC。这可能表明测试期结束，我们可能会看到这个新家庭的活动有所增加。“

在相关新闻中，NETSCOUT 还发现了一个僵尸网络传播，其中攻击者蛮力强制出厂默认用户名和密码在物联网（IoT）上发起 DDoS 攻击。

整个 9 月，研究人员观察了来自 129 个国家的 1,065 个唯一用户名和密码组合。其中，询问僵尸网络显示除了 Mirai 默认列表上的用户名和密码之外，还有 1,005 种用户名和密码组合。这些组合在 IoT 设备上不加选择地使用。研究的另一个重要发现表明，“使用特定制造商默认密码的机器人的攻击通常是从类似受损设备中进行的，”

NETSCOUT 这样写明。