Gorilla Botnet

Cybersikkerhedsforskere har identificeret en ny familie af botnet-malware kendt som Gorilla (eller GorillaBot), som er baseret på den afslørede kildekode fra Mirai Botnet .

Ifølge eksperter, der overvåger denne aktivitet, udførte Gorilla-botnettet mere end 300.000 angrebskommandoer inden for en bemærkelsesværdig kort periode med en forbløffende angrebsrate i september 2024. I gennemsnit lancerede botnettet omkring 20.000 kommandoer dagligt, specifikt rettet mod at lette distribueret afvisning. of-service (DDoS) angreb.

Over 100 lande målrettet af DDoS-forsøg

Botnettet siges at have rettet mod over 100 lande og lanceret angreb mod universiteter, regeringshjemmesider, telekommunikation, banker samt spil- og gamblingindustrien. De mest berørte nationer omfatter Kina, USA, Canada og Tyskland.

Eksperter angiver, at Gorilla primært anvender metoder som UDP-oversvømmelse, ACK BYPASS-oversvømmelse, Valve Source Engine (VSE)-oversvømmelse, SYN-oversvømmelse og ACK-oversvømmelse til at udføre sine DDoS-angreb. UDP-protokollens forbindelsesløse natur muliggør arbitrær IP-spoofing med kilde, hvilket resulterer i en betydelig mængde trafik.

Ud over dets understøttelse af flere CPU-arkitekturer, inklusive ARM, MIPS, x86_64 og x86, er botnettet udstyret med muligheden for at oprette forbindelse til en af fem foruddefinerede Command-and-Control-servere (C2) for at modtage DDoS-kommandoer.

Udnyttelse af sårbarheder og persistensmekanisme

I en bemærkelsesværdig udvikling inkorporerer malwaren funktioner til at udnytte en sikkerhedssårbarhed i Apache Hadoop YARN RPC, hvilket gør det muligt for den at opnå fjernudførelse af kode. Denne særlige fejl er blevet udnyttet i naturen siden mindst 2021.

For at sikre persistens på værten opretter malwaren en servicefil ved navn custom.service i mappen /etc/systemd/system/, som er konfigureret til at køre automatisk ved systemstart. Denne tjeneste har til opgave at downloade og udføre et shell-script kaldet lol.sh fra en ekstern server (pen.gorillafirewall.su). Derudover indsættes lignende kommandoer i filerne /etc/inittab, /etc/profile og /boot/bootcmd for at lette downloading og udførelse af shell-scriptet ved systemstart eller brugerlogin.

Malwaren introducerer en række forskellige DDoS-angrebsmetoder og anvender krypteringsalgoritmer, der almindeligvis bruges af Keksec-gruppen til at skjule kritisk information. Den bruger også flere teknikker til at opretholde langsigtet kontrol over IoT-enheder og cloud-værter, hvilket afspejler en sofistikeret bevidsthed om mod-detektionsforanstaltninger, der er typiske for nye botnet-familier.

Nogle sikkerhedsforskere antyder, at Gorilla Botnet-malwaren ikke er helt ny, da den har været aktiv i over et år.