一种从未见过的恶意软件感染了成百上千的Linux和Windows设备

zuenl571

研究人员近日披露了一种从未见过的跨平台恶意软件，这种恶意软件已经感染了一系列广泛的Linux和Windows设备，包括小型办公室路由器、FreeBSD设备和大型企业服务器。

安全公司Lumen的研究部门Black Lotus Labs（黑莲花实验室）称该恶意软件为Chaos，这个名称在恶意软件使用的函数名、证书和文件名中一再出现。直到4月16日当第一批控制投入实际使用时，Chaos才浮出水面。从bhojhz.gq6月到7月中旬，研究人员发现了数百个独特的IP地址，这些IP地址代表受Chaos攻击的设备。最近几个月，用于感染新设备的登台（staging）服务器如雨后春笋般涌现，从5月的39台增加到8dmddlf.gq月的93台。截至周二，这个数字已达到了111台。

Black Lotus观察到了企业服务器和嵌入式Linux设备与这些登台服aejdnm.gq务器的交互，包括欧洲的一台托管GitLab实例的企业服务器。外面的独特样本数量超过100个。

Black Lotus Labs的研究人员在周三上午的一篇博文中写道，Chaos恶意软件的威力源于几个因素。首先，它被设计成可以在多个架构上运行，除了Windows和Linux操作系统外，还包括ARM、英特尔（i386）、MIPS和PowerPC。其次，与Emotet等利用垃圾邮件来传播和蔓延的大规模勒索软件传播僵尸网络不同，Chaos通过已知的CVE以及蛮力破解的密码和窃取的SSH密钥来传播。

CVE指用于跟踪特定漏洞的机制。周三的报告只提到了少数几个CVE漏洞，包括影响华为销售的防火墙的CVE-2017-17215和CVE-2022-3052wkdnbp.gq5，以及F5销售的负载均衡系统、防火墙和网络检测设备中极其严重的CVE-2022-1388漏洞。使用密码蛮力破解和窃取密钥的SSH感染也让Chaosvvfqym.gq可以在受感染网络内从一台计算机传播到另一台计算机。

Chaos还有众多功能，包括枚举连接到受感染网络的所有设备，运行让攻击者可以执行命令的远程shell，xfmyqz.gq以及加载额外的模块。Black Lotus Labs的研究人员表示，加上能够在如此广泛的设备上运行，这些功能让该公司怀疑Chaos是网络犯罪分子的杰作，他们在蓄意构建一个受感染设备组成的网络，利用它进行初始访问、DDoS攻击和挖掘加密货币。

Black Lotus Labs认为Chaos是Kaiji的一个分支，Kaiji是一种僵尸网络软件，面向基于Linux的AMD和i386服务器，用于发动DDoS攻击。自渐成气候以来，Chaos已获得了大批新功能，包括针对新架构的模块、在Windows上运行的功能以及通过漏洞利用和SSH密钥收集进行传播的能力。

受感染的IP地址hskxhr.gq表明，Chaos感染主要集中在欧洲，北美、南美和亚太地区也有感染现象。

图1

Black Lotus Labs的研究人员写道：

在9月的前几周，我们的Chaos主机模拟系统收到了多个针对大约20多家组织的域名或IP的DDoS命令。我们使用自己的全球遥测数据，从我们收到的攻击命令发现了多起时间范围、IP和端口相一致的DDoS攻击。攻击类型通常是跨多个端口利用UDP和TCP/SYN的多途径攻击，攻击流量常常在数日内增加。攻击的实体包括游戏、金融服务、技术、媒体、娱乐以及托管等行业的组织。我们甚至观察到针对DDoS即服务提供商和加密货币挖掘交易所的攻击。总的来说，这些目标遍布欧洲中东非洲、亚太和北美。

一家nzoqte.gq游戏公司通过端口30120受到了UDP、TCP和SYN混合攻击。从9月1日到9月5日，该组织收到的流量超过了正常流量。分析攻击之前和整个攻击期间的流量后发现，潮水般的流量通过大约12000个不同的IP发送到端口30120，不过部分流量可能表明存在IP欺骗。

图2

有几个目标包括DDoS即服务提供商。其中一个自称是首屈一指的IP DDoS租用平台或服务，提供CAPTCHA绕过和“独特”的传输层DDoS功能。8月中旬，流量大幅上升，大约是前30天最高记录的四倍。随后，9月1日出现了一vvksst.gq个更大的高峰，是正常流量的六倍多。

图3. DDoS即服务组织入站攻击流量（来源：Black Lotus Labs）

为了防止Chaos感染，人们可以做的两件最重要的事情是，确保所有、服务器和其他设备打上全面的补丁，并尽可能使用强密码和基于fido2的多因素身份验证。提醒所有小型办公室路由器的拥有者：大多数路由器恶意软件在重启后都无法存活下来。考虑差不多每周重启一次设备。使用SSH的用户应该始终使用加密密钥进行身份验证。

参考及来源：https://arstechnica.com/information-technology/2022/09/never-before-seen-malware-has-infected-hundreds-of--and--devices/