Onderzoekers van Sophos hebben het nieuwe DDoS-botnet Chalubo ontdekt, die zich richt op slecht beveiligde SSH-servers. Dit om van afstand toegang te krijgen tot Linux-gebaseerde systemen.
Het botnet gebruikt malware zoals Xor.DDoS en Mirai. Het netwerk werd begin september ontdekt. Beveiligingsonderzoekers gebruikten een honeypot-server die ontworpen was om kwetsbaar te lijken voor DDoS-aanvallen en andere dreigingen, om informatie te krijgen over het botnet. Chalubo bestaat onder meer uit een downloader, een Lua command script en de bot zelf, die geoptimaliseerd was voor hardware die Intel x86-processors gebruikt.
Net als bij Windows-malware hebben de makers anti-analysetechnieken gebruikt, zoals het ChaCha stream cipher om het Lua-script en de bot zelf te versleutelen. In de afgelopen weken hebben de makers ook de Elknot dropper gebruikt om de volledige malware-familie te releasen. Volgens de onderzoekers kunnen de bots nu op diverse CPU-architecturen draaien, wat betekent dat het botnet mogelijk doordringender wordt in de nabije toekomst.
Cybercriminelen hebben hun pijlen vaker op Linux-systemen gericht, maar volgens de onderzoekers is het gebruik van de ChaCha stream en de geavanceerde aanpak om de bots per laag te releasen ongewoon. Verder proberen de makers mogelijk de best practices van hun voorgangers te stelen. Bepaalde functies die de Xor.DDoS-familie toestaan om persistentie te bereiken waren gekopieerd in de Chalubo-code.
Bescherming
Met een DDoS-aanval kan een website worden platgelegd, evenals andere onderdelen van enterprise IT. Aangezien Chalubo werd gevonden via een honeypot, is de kans groot dat de makers zich richten op echte doelwitten. Experts van IBM raden gebruikers aan om een gelaagde aanpak voor het beveiligingsbeleid te gebruiken om tegen DDoS-aanvallen te beschermen. Beveiligingsteams kunnen daardoor DDoS-activiteiten op een specifiek netwerk, applicatie of sessie identificeren.
Ook zouden organisaties hun applicaties en besturingssystemen moeten voorzien van de laatste updates en patches, en er voor zorgen dat antivirussoftware en andere bestanden up-to-date zijn. Tot slot zou de omgeving gemonitord moeten worden op indicatoren van compromise (IoC’s) die in de IBM X-Force Exchange threat advisory staan.
2 uur geleden
