عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد شبكات الروبوتات شبكة الغوريلا بوت نت

شبكة الغوريلا بوت نت

بواسطة Mezo في شبكات الروبوتات
ترجمة الى:
العربية

تمكن باحثو الأمن السيبراني من التعرف على عائلة جديدة من برامج الروبوتات الخبيثة المعروفة باسم Gorilla (أو GorillaBot)، والتي تعتمد على الكود المصدر الذي تم الكشف عنه لشبكة Mirai Botnet .

وبحسب الخبراء الذين يراقبون هذا النشاط، نفذت شبكة Gorilla botnet أكثر من 300 ألف أمر هجوم خلال فترة قصيرة بشكل ملحوظ، مع معدل هجوم مذهل في سبتمبر 2024. وفي المتوسط، أطلقت شبكة Gorilla botnet حوالي 20 ألف أمر يوميًا، بهدف تسهيل هجمات الحرمان من الخدمة الموزعة (DDoS).

أكثر من 100 دولة مستهدفة بمحاولات DDoS

وتشير التقارير إلى أن شبكة الروبوتات استهدفت أكثر من 100 دولة، حيث شنت هجمات على الجامعات والمواقع الحكومية وشبكات الاتصالات والبنوك، فضلاً عن صناعات الألعاب والمقامرة. وتشمل الدول الأكثر تضرراً الصين والولايات المتحدة وكندا وألمانيا.

يشير الخبراء إلى أن Gorilla تستخدم بشكل أساسي أساليب مثل UDP flush، وACK BYPASS flush، وValve Source Engine (VSE)، وSYN flush، وACK flush لتنفيذ هجمات DDoS. إن طبيعة عدم الاتصال لبروتوكول UDP تمكن من انتحال IP المصدر التعسفي، مما يؤدي إلى حجم كبير من حركة المرور.

بالإضافة إلى دعمها للعديد من بنيات وحدة المعالجة المركزية، بما في ذلك ARM وMIPS وx86_64 وx86، تم تجهيز شبكة الروبوتات بالقدرة على الاتصال بأحد خمسة خوادم قيادة وتحكم (C2) محددة مسبقًا لتلقي أوامر DDoS.

استغلال الثغرات وآلية الاستمرار

في تطور ملحوظ، يدمج البرنامج الخبيث وظائف لاستغلال ثغرة أمنية في Apache Hadoop YARN RPC، مما يسمح له بتنفيذ التعليمات البرمجية عن بُعد. وقد تم استغلال هذا الخلل بشكل واسع النطاق منذ عام 2021 على الأقل.

ولضمان استمرارية البرنامج الخبيث على المضيف، ينشئ ملف خدمة باسم custom.service في الدليل /etc/systemd/system/، والذي تم تكوينه ليتم تشغيله تلقائيًا عند بدء تشغيل النظام. وتتولى هذه الخدمة مهمة تنزيل وتنفيذ برنامج نصي يسمى lol.sh من خادم بعيد (pen.gorillafirewall.su). بالإضافة إلى ذلك، يتم إدراج أوامر مماثلة في ملفات /etc/inittab و/etc/profile و/boot/bootcmd لتسهيل تنزيل وتنفيذ البرنامج النصي عند بدء تشغيل النظام أو تسجيل دخول المستخدم.

يقدم البرنامج الخبيث مجموعة متنوعة من أساليب هجوم الحرمان من الخدمة الموزعة ويستخدم خوارزميات التشفير التي تستخدمها مجموعة Keksec عادة لإخفاء المعلومات الهامة. كما يستخدم تقنيات متعددة للحفاظ على السيطرة طويلة الأمد على أجهزة إنترنت الأشياء ومضيفي السحابة، مما يعكس وعيًا متطورًا بإجراءات الكشف المضاد النموذجية لعائلات شبكات الروبوتات الناشئة.

ويشير بعض الباحثين في مجال الأمن إلى أن برنامج Gorilla Botnet الخبيث ليس جديدًا تمامًا، حيث كان نشطًا لأكثر من عام.

الشائع

الأكثر مشاهدة

جار التحميل...