Gorilla Botnet

A kiberbiztonsági kutatók a Gorilla (vagy GorillaBot) néven ismert botnet rosszindulatú szoftverek új családját azonosították, amely a Mirai Botnet nyilvánosságra hozott forráskódján alapul.

Az ezt a tevékenységet figyelő szakértők szerint a Gorilla botnet feltűnően rövid időn belül több mint 300 000 támadási parancsot hajtott végre, 2024 szeptemberében pedig elképesztő támadási aránnyal. A botnet átlagosan napi 20 000 parancsot adott ki, amelyek kifejezetten az elosztott megtagadás elősegítését célozták. szolgáltatási (DDoS) támadások.

Több mint 100 DDoS-kísérletek által megcélzott ország

A jelentések szerint a botnet több mint 100 országot célzott meg, és támadásokat indított egyetemek, kormányzati webhelyek, távközlés, bankok, valamint a szerencsejáték-ipar ellen. A leginkább érintett nemzetek közé tartozik Kína, az Egyesült Államok, Kanada és Németország.

A szakértők azt mutatják, hogy a Gorilla elsősorban olyan módszereket alkalmaz, mint az UDP elárasztás, az ACK BYPASS elárasztás, a Valve Source Engine (VSE) elárasztás, a SYN elárasztás és az ACK elárasztás a DDoS támadások végrehajtására. Az UDP-protokoll kapcsolat nélküli jellege lehetővé teszi az önkényes forrású IP-hamisítást, ami jelentős forgalomhoz vezet.

Amellett, hogy támogatja a több CPU architektúrát, beleértve az ARM-et, MIPS-t, x86_64-et és x86-ot, a botnet képes csatlakozni az öt előre meghatározott Command-and-Control (C2) szerver egyikéhez a DDoS parancsok fogadása érdekében.

A sebezhetőségek és a tartóssági mechanizmus kihasználása

Egy figyelemre méltó fejlesztés, a rosszindulatú program olyan funkciókat tartalmaz, amelyek kihasználják az Apache Hadoop YARN RPC biztonsági rését, lehetővé téve a távoli kódfuttatást. Ezt a sajátos hibát a vadonban legalább 2021 óta használják ki.

A gazdagépen való fennmaradás érdekében a kártevő létrehoz egy custom.service nevű szolgáltatásfájlt az /etc/systemd/system/ könyvtárban, amely úgy van beállítva, hogy a rendszer indításakor automatikusan fusson. Ennek a szolgáltatásnak a feladata egy lol.sh nevű shell-szkript letöltése és végrehajtása egy távoli kiszolgálóról (pen.gorillafirewall.su). Ezenkívül hasonló parancsok kerülnek beszúrásra az /etc/inittab, /etc/profile és /boot/bootcmd fájlba, hogy megkönnyítsék a shell szkript letöltését és végrehajtását a rendszer indításakor vagy a felhasználói bejelentkezéskor.

A kártevő számos DDoS támadási módszert vezet be, és a Keksec csoport által általánosan használt titkosítási algoritmusokat alkalmaz a kritikus információk elfedésére. Számos technikát is alkalmaz az IoT-eszközök és felhőalapú gazdagépek hosszú távú ellenőrzésének fenntartására, tükrözve a feltörekvő botnet-családokra jellemző ellenérzékelési intézkedések kifinomult tudatosságát.

Egyes biztonsági kutatók szerint a Gorilla Botnet kártevő nem teljesen új, már több mint egy éve aktív.