День ото дня ботнеты становятся все изощреннее – и вот уже речь, бывает, зайдет о «самообучащихся кибер«роях» , которые сами находят жертвы и постоянно активны в своем приросте и атаках, а не ждут команды от «пастуха», как первые опытные экземпляры ботнетов. Сегодня же у нас обзор полноценного детища двух ботнетов – ChaCha-Lua-bot или, как его ласково называют эксперты компании Sophos – Chalubo.
Chalubo объединяет в себе код Xor.DDoS и Mirai, а также использует уникальные и достаточно интересные техники защиты от анализа. Оба основных компонента малвари зашифрованы с использованием Lua-скрипта и поточных шифров ChaCha (отсюда, собственно, и название, хотя вообще «cha-cha-lua» можно было бы перевести как «танцующая луна»).
Эксперты из Sophos констатируют быструю эволюцию малыша Чалубо. Еще в августе текущего года в атаках использовались лишь три вредоносных компонента: загрузчик, основной бот и командный скрипт Lua. При этом бот был способен работать лишь на x86 архитектуре.
Однако уже в октябре операторы ботнета переключились на использование дропера Elknot, который теперь занимается доставкой Chalubo, а ранее был замечен в работе с ботнетом Elasticsearch. Более того, появились различные версии ботов для разных архитектур. Отныне малыш Chalubo представляет опасность для 32-разрядных и 64-разрядных ARM, x86, x86_64, MIPS, MIPSEL и PowerPC.
Исследователи считают, что это означает, что ясельный период для чудовища завершен, и авторы ботнета готовы переходить к настоящим атакам. Малварь может применяться для организации DDoS-атак (DNS- UDP- и SYN-флуда).
Уже в сентябре 2018 года малварь начала распространяться через брутфорс-атаки на SSH-серверы. Эксперты пишут, что в настоящее время малварь уже заметно отличается от других похожих угроз. Chalubo не только использует многоуровневый подход, но и применяет шифрование, которое не так часто можно встретить в составе Linux-малвари. Chalubo атакует также слабозащищенные умные устройства и умные дома.
Ранее на этой неделе АКБ рассказывало про доклад КБ-исследователей из Protego, которые прогнозируют появление ботнетов нового поколения, бестелесную армию монстров, которым не будут нужны сервера. Они уже создали опытный образец такого чудовища на платформе Google Cloud Functions. Хотя такие образцы ботнетов уступают по мощи титанам вроде Mirai и наносят значительно меньший ущерб (около $5,500 в час или $160,000 при непрерывной атаке в единую цель), их неоспоримое преимущество, как говорят разработчики, в том, что «вы используете их, когда надо, а когда они не нужны, они просто испаряются»
