最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

新的Chaos恶意软件感 Windows、Linux设备进行DDoS攻击

网络安全 快米云 来源:快米云 60浏览

颅骨

一个名为 Chaos 的快速扩张的僵尸网络正在瞄准并感染 Windows 和 Linux 设备,以使用它们进行加密挖掘和发起 DDoS 攻击。

这种基于 Go 的恶意软件还可以感染各种架构,包括 x86、x86-64、AMD64、MIPS、MIPS64、ARMv5-ARMv8、AArch64 和 PowerPC,被小型办公室/家庭办公室路由器和企业服务器等各种设备使用.

尽管它主要通过攻击未针对各种安全漏洞和 SSH 暴力破解的设备进行传播,但 Chaos 也会使用被盗的 SSH 密钥劫持更多设备。

它还通过建立一个反向外壳来对被劫持的设备进行后门,该外壳将允许攻击者随时重新连接以进行进一步利用。

Lumen 的黑莲花实验室的安全研究人员 Danny Adamitis、Steve Rudd 和 Stephanie Walkenshaw 在分析大约 100 个在野外发现的样本时发现,Chaos 是用中文编写的,并使用基于中国的命令和控制 (C2) 基础设施。

他们还发现,僵尸网络的目标是广泛的行业,并且自 4 月首次被发现以来呈指数级增长。

“使用 Lumen 全球网络可见性,Black Lotus Labs 列举了几个不同 Chaos 集群的 C2 和目标,包括成功入侵 GitLab 服务器以及最近针对游戏、金融服务和技术以及媒体和娱乐行业的一系列 DDoS 攻击– 以及 DDoS 即服务提供商和加密货币交易所,”研究人员 

“虽然今天的僵尸网络基础设施比一些领先的 ​​DDoS 恶意软件系列相对较小,但 Chaos 在过去几个月中表现出快速增长。”

混沌僵尸网络增长
混沌僵尸网络增长(Black Lotus Labs)

​在僵尸网络成功接管设备后,它将建立持久性并联系其 C2 服务器,该服务器发回暂存命令,提示恶意软件进一步传播,开始挖掘加密货币,或发起 DDoS 攻击。

Black Lotus Labs 的研究人员补充说,已经看到一些机器人在短短几天内收到了数十条命令(在某些情况下超过 70 条)。

僵尸网络专注于欧洲目标,但僵尸网络几乎遍布各处,热点在美洲和亚太地区。唯一的例外是澳大利亚和新西兰,迄今为止尚未检测到 Chaos 机器人。

Chaos 似乎正在使用另一个僵尸网络 Kaiji的构建块和功能,该恶意软件还能够进行加密、发起 DDoS 攻击并在受感染的设备上建立反向 shell。

“根据我们为本报告分析的 100 多个样本中的功能分析,我们评估 Chaos 是 Kaiji 僵尸网络的下一次迭代,”他们补充说。

“Kaiji 最初于 2020 年被发现,针对基于 Linux 的 AMD 和 i386 服务器,利用 SSH 暴力破解感染新的机器人,然后发起 DDoS 攻击。”

Chaos 僵尸网络感染流程
Chaos 僵尸网络感染流程(Black Lotus Labs)

Black Lotus Labs 表示,它已将 Lumen 全球骨干网上的所有 Chaos C2 服务器设置为空路由,以阻止它们发送或接收来自受感染设备的数据。

建议网络防御者使用GitHub 上共享的妥协指标来监控 Chaos 感染和与可疑服务器的连接,  并针对恶意软件可能开始针对的新披露的安全漏洞对他们的系统进行修补。

远程工作人员和路由器所有者应尽快安装安全更新和补丁,并更改其所有设备的默认密码。

他们总结道:“虽然过去几年一直在转向基于 Go 的恶意软件,但很少有病毒可以证明 Chaos 的广泛性,因为它旨在感染各种架构和操作系统。”

“它不仅针对企业和大型组织,还针对不作为企业安全模型的一部分进行常规监控的设备和系统,例如 SOHO 路由器和 FreeBSD 操作系统。

“随着它的前身有了显着的发展,混沌正在实现快速增长,因为它在野外的第一个记录证据。”

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的Chaos恶意软件感 Windows、Linux设备进行DDoS攻击