Gorilla Botnet

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណគ្រួសារថ្មីនៃមេរោគ botnet ដែលត្រូវបានគេស្គាល់ថាជា Gorilla (ឬ GorillaBot) ដែលផ្អែកលើកូដប្រភពដែលបានបង្ហាញរបស់ Mirai Botnet ។

យោងតាមអ្នកជំនាញដែលតាមដានសកម្មភាពនេះ Gorilla botnet បានប្រតិបត្តិពាក្យបញ្ជាវាយប្រហារច្រើនជាង 300,000 ក្នុងរយៈពេលដ៏ខ្លីគួរឲ្យកត់សម្គាល់ ជាមួយនឹងអត្រាការវាយប្រហារដ៏គួរឱ្យភ្ញាក់ផ្អើលនៅក្នុងខែកញ្ញា ឆ្នាំ 2024។ ជាមធ្យម botnet បានចាប់ផ្តើមប្រហែល 20,000 commands ជារៀងរាល់ថ្ងៃ ដែលមានគោលបំណងជាពិសេសក្នុងការសម្រួលដល់ការចែកចាយការបដិសេធ។ ការវាយប្រហារនៃសេវាកម្ម (DDoS) ។

ប្រទេសជាង 100 កំណត់គោលដៅដោយការប៉ុនប៉ង DDoS

botnet ត្រូវបានគេរាយការណ៍ថាបានកំណត់គោលដៅជាង 100 ប្រទេស ដោយបើកការវាយប្រហារប្រឆាំងនឹងសាកលវិទ្យាល័យ គេហទំព័ររដ្ឋាភិបាល ទូរគមនាគមន៍ ធនាគារ ក៏ដូចជាឧស្សាហកម្មហ្គេម និងល្បែង។ ប្រទេសដែលរងផលប៉ះពាល់ខ្លាំងជាងគេរួមមាន ចិន សហរដ្ឋអាមេរិក កាណាដា និងអាល្លឺម៉ង់។

អ្នកជំនាញបង្ហាញថា Gorilla ជាចម្បងប្រើវិធីសាស្រ្តដូចជា UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood និង ACK flood ដើម្បីអនុវត្តការវាយប្រហារ DDoS របស់វា។ លក្ខណៈគ្មានការតភ្ជាប់នៃពិធីការ UDP អនុញ្ញាតឱ្យមានការក្លែងបន្លំ IP ប្រភពបំពាន ដែលបណ្តាលឱ្យមានបរិមាណចរាចរយ៉ាងសំខាន់។

បន្ថែមពីលើការគាំទ្ររបស់វាសម្រាប់ស្ថាបត្យកម្មស៊ីភីយូជាច្រើន រួមទាំង ARM, MIPS, x86_64 និង x86 botnet ត្រូវបានបំពាក់ដោយសមត្ថភាពដើម្បីភ្ជាប់ទៅម៉ាស៊ីនមេមួយក្នុងចំនោមម៉ាស៊ីនមេ Command-and-Control (C2) ចំនួនប្រាំ ដើម្បីទទួលបានពាក្យបញ្ជា DDoS ។

ការទាញយកភាពងាយរងគ្រោះ និងយន្តការតស៊ូ

នៅក្នុងការអភិវឌ្ឍន៍គួរឱ្យកត់សម្គាល់ មេរោគរួមបញ្ចូលមុខងារដើម្បីទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនៅក្នុង Apache Hadoop YARN RPC ដែលអនុញ្ញាតឱ្យវាសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយ។ កំហុសពិសេសនេះត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងព្រៃចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2021។

ដើម្បីធានាបាននូវភាពស្ថិតស្ថេរនៅលើម៉ាស៊ីន មេរោគបង្កើតឯកសារសេវាកម្មមួយដែលមានឈ្មោះថា custom.service នៅក្នុងថត /etc/systemd/system/ ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធឱ្យដំណើរការដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្តើមប្រព័ន្ធ។ សេវាកម្មនេះមានភារកិច្ចទាញយក និងដំណើរការស្គ្រីបសែលហៅថា lol.sh ពីម៉ាស៊ីនមេពីចម្ងាយ (pen.gorillafirewall.su)។ លើសពីនេះទៀត ពាក្យបញ្ជាស្រដៀងគ្នាត្រូវបានបញ្ចូលទៅក្នុងឯកសារ /etc/inittab, /etc/profile, និង /boot/bootcmd ដើម្បីជួយសម្រួលដល់ការទាញយក និងដំណើរការស្គ្រីបសែល នៅពេលចាប់ផ្តើមប្រព័ន្ធ ឬការចូលរបស់អ្នកប្រើប្រាស់។

មេរោគនេះណែនាំវិធីសាស្រ្តវាយប្រហារ DDoS ជាច្រើនប្រភេទ និងប្រើក្បួនដោះស្រាយការអ៊ិនគ្រីបដែលប្រើជាទូទៅដោយក្រុម Keksec ដើម្បីបិទបាំងព័ត៌មានសំខាន់ៗ។ វាក៏ប្រើប្រាស់បច្ចេកទេសជាច្រើនដើម្បីរក្សាការគ្រប់គ្រងរយៈពេលវែងលើឧបករណ៍ IoT និងម៉ាស៊ីនពពក ដែលឆ្លុះបញ្ចាំងពីការយល់ដឹងដ៏ស្មុគ្រស្មាញនៃវិធានការប្រឆាំងការរកឃើញធម្មតានៃក្រុមគ្រួសារ botnet ដែលកំពុងរីកចម្រើន។

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខមួយចំនួនបានណែនាំថាមេរោគ Gorilla Botnet មិនមែនថ្មីទាំងស្រុងនោះទេ ដោយបានដំណើរការអស់រយៈពេលជាងមួយឆ្នាំ។