根据Sophos Labs报告称，一种新的恶意软件正在瞄准物联网（IoT）设备，企图将它们陷入能够发起分布式拒绝服务（DDoS）攻击的僵尸网络中。

该恶意软件被称为 Chalubo （ChaCha-Lua-bot），它包含来自 Xor.DDoS 和 Mirai 系列的代码，但也带来了反分析技术的改进。具体来说，入侵者使用ChaCha流密码加密了主要组件及其相应的Lua脚本。

在8月下旬，Sophos观察到攻击者使用三种恶意组件进行传播，即下载程序，僵尸程序和命令脚本，而其中僵尸程序仅在具 有x86架构的系统上运行。

而在数周前，网络犯罪分子开始使用Elknot滴管来交付其余的Chalubo。更重要的是，Sophos Labs安全研究人员观察了各种bot版本，发现僵尸网络已经可以针对不同的架构进行破坏，包括32位和64位ARM，x86，x86_64，MIPS，MIPSEL和PowerPC。

通过扩展的目标列表，Sophos得出结论，恶意软件入侵者可能最初一直在测试机器人，但是试验已经结束，并且预计这种新威胁的活动将会增加。

9月初，恶意软件通过SSH服务器上的暴力攻击进行分发。Sophos基于对其蜜罐的攻击揭示，攻击者使用root：admin凭证对来破坏设备。

与我们通常从这些类型的攻击中看到的标准Linux机器人相比，这个机器人表现出更高的复杂性。研究人员指出，攻击者不仅使用分层方法来删除恶意组件，而且使用的加密技术并不是我们通常用Linux恶意软件能看到的。

恶意软件下载程序丢弃的文件之一是脚本，执行此操作的方式与Xor.DDoS系列的行为完全匹配。实际上，Chalubo似乎从较旧的恶意软件中复制了负责持久性的代码。

此外，研究人员发现Chalubo的作者还复制了Mirai的一些代码片段，包括一些随机函数。但是，新恶意软件系列中的大多数功能代码都是新的，因为作者主要关注使用DNS，UDP和SYN泛洪执行DDoS攻击的Lua处理。

机器人的Lua脚本旨在调用命令和控制（C＆C）服务器的主页，以提供受感染机器的详细信息并接收进一步的指令。它还会下载，解密和执行它找到的任何Lua脚本。

“由于这种机器人感染系统的主要方法是通过对SSH服务器使用通用的用户名和密码组合，我们建议SSH服务器的系统管理员（包括嵌入式设备）更改这些设备上的任何默认密码，因为蛮力试图通过常见的，公开的默认密码循环，“Sophos总结道。