亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

研究人員近日披露了一種從未見過的跨平臺(tái)惡意軟件，這種惡意軟件已經(jīng)感染了一系列廣泛的linux和windows設(shè)備，包括小型辦公室路由器、FreeBSD設(shè)備和大型企業(yè)服務(wù)器。

安全公司Lumen的研究部門Black Lotus Labs（黑蓮花實(shí)驗(yàn)室）稱該惡意軟件為Chaos，這個(gè)名稱在惡意軟件使用的函數(shù)名、證書和文件名中一再出現(xiàn)。直到4月16日當(dāng)?shù)谝慌刂品?wù)器投入實(shí)際使用時(shí)，Chaos才浮出水面。從6月到7月中旬，研究人員發(fā)現(xiàn)了數(shù)百個(gè)獨(dú)特的IP地址，這些IP地址代表受Chaos攻擊的設(shè)備。最近幾個(gè)月，用于感染新設(shè)備的登臺(tái)（staging）服務(wù)器如雨后春筍般涌現(xiàn)，從5月的39臺(tái)增加到8月的93臺(tái)。截至周二，這個(gè)數(shù)字已達(dá)到了111臺(tái)。

Black Lotus觀察到了企業(yè)服務(wù)器和嵌入式Linux設(shè)備與這些登臺(tái)服務(wù)器的交互，包括歐洲的一臺(tái)托管GitLab實(shí)例的企業(yè)服務(wù)器。外面的獨(dú)特樣本數(shù)量超過100個(gè)。

Black Lotus Labs的研究人員在周三上午的一篇博文中寫道，Chaos惡意軟件的威力源于幾個(gè)因素。首先，它被設(shè)計(jì)成可以在多個(gè)架構(gòu)上運(yùn)行，除了Windows和Linux操作系統(tǒng)外，還包括ARM、英特爾（i386）、MIPS和PowerPC。其次，與Emotet等利用垃圾郵件來傳播和蔓延的大規(guī)模勒索軟件傳播僵尸網(wǎng)絡(luò)不同，Chaos通過已知的CVE以及蠻力破解的密碼和竊取的SSH密鑰來傳播。

CVE指用于跟蹤特定漏洞的機(jī)制。周三的報(bào)告只提到了少數(shù)幾個(gè)CVE漏洞，包括影響華為銷售的防火墻的CVE-2017-17215和CVE-2022-30525，以及F5銷售的負(fù)載均衡系統(tǒng)、防火墻和網(wǎng)絡(luò)檢測設(shè)備中極其嚴(yán)重的CVE-2022-1388漏洞。使用密碼蠻力破解和竊取密鑰的SSH感染也讓Chaos可以在受感染網(wǎng)絡(luò)內(nèi)從一臺(tái)計(jì)算機(jī)傳播到另一臺(tái)計(jì)算機(jī)。

Chaos還有眾多功能，包括枚舉連接到受感染網(wǎng)絡(luò)的所有設(shè)備，運(yùn)行讓攻擊者可以執(zhí)行命令的遠(yuǎn)程shell，以及加載額外的模塊。Black Lotus Labs的研究人員表示，加上能夠在如此廣泛的設(shè)備上運(yùn)行，這些功能讓該公司懷疑Chaos是網(wǎng)絡(luò)犯罪分子的杰作，他們?cè)谛钜鈽?gòu)建一個(gè)受感染設(shè)備組成的網(wǎng)絡(luò)，利用它進(jìn)行初始訪問、DDoS攻擊和挖掘加密貨幣。

Black Lotus Labs認(rèn)為Chaos是Kaiji的一個(gè)分支，Kaiji是一種僵尸網(wǎng)絡(luò)軟件，面向基于Linux的AMD和i386服務(wù)器，用于發(fā)動(dòng)DDoS攻擊。自漸成氣候以來，Chaos已獲得了大批新功能，包括針對(duì)新架構(gòu)的模塊、在Windows上運(yùn)行的功能以及通過漏洞利用和SSH密鑰收集進(jìn)行傳播的能力。

受感染的IP地址表明，Chaos感染主要集中在歐洲，北美、南美和亞太地區(qū)也有感染現(xiàn)象。

圖1

Black Lotus Labs的研究人員寫道：

在9月的前幾周，我們的Chaos主機(jī)模擬系統(tǒng)收到了多個(gè)針對(duì)大約20多家組織的域名或IP的DDoS命令。我們使用自己的全球遙測數(shù)據(jù)，從我們收到的攻擊命令發(fā)現(xiàn)了多起時(shí)間范圍、IP和端口相一致的DDoS攻擊。攻擊類型通常是跨多個(gè)端口利用UDP和TCP/SYN的多途徑攻擊，攻擊流量常常在數(shù)日內(nèi)增加。攻擊的實(shí)體包括游戲、金融服務(wù)、技術(shù)、媒體、娛樂以及托管等行業(yè)的組織。我們甚至觀察到針對(duì)DDoS即服務(wù)提供商和加密貨幣挖掘交易所的攻擊。總的來說，這些目標(biāo)遍布?xì)W洲中東非洲、亞太和北美。

一家游戲公司通過端口30120受到了UDP、TCP和SYN混合攻擊。從9月1日到9月5日，該組織收到的流量超過了正常流量。分析攻擊之前和整個(gè)攻擊期間的流量后發(fā)現(xiàn)，潮水般的流量通過大約12000個(gè)不同的IP發(fā)送到端口30120，不過部分流量可能表明存在IP欺騙。

圖2

有幾個(gè)目標(biāo)包括DDoS即服務(wù)提供商。其中一個(gè)自稱是首屈一指的IP DDoS租用平臺(tái)或服務(wù)，提供CAPTCHA繞過和“獨(dú)特”的傳輸層DDoS功能。8月中旬，流量大幅上升，大約是前30天最高記錄的四倍。隨后，9月1日出現(xiàn)了一個(gè)更大的高峰，是正常流量的六倍多。

圖3. DDoS即服務(wù)組織入站攻擊流量（來源：Black Lotus Labs）

為了防止Chaos感染，人們可以做的兩件最重要的事情是，確保所有路由器、服務(wù)器和其他設(shè)備打上全面的補(bǔ)丁，并盡可能使用強(qiáng)密碼和基于fido2的多因素身份驗(yàn)證。提醒所有小型辦公室路由器的擁有者：大多數(shù)路由器惡意軟件在重啟后都無法存活下來?？紤]差不多每周重啟一次設(shè)備。使用SSH的用戶應(yīng)該始終使用加密密鑰進(jìn)行身份驗(yàn)證。

參考及來源：https://arstechnica.com/information-technology/2022/09/never-before-seen-malware-has-infected-hundreds-of-linux-and-windows-devices/