„Gorilla Botnet“.

Kibernetinio saugumo tyrinėtojai nustatė naują botneto kenkėjiškų programų šeimą, žinomą kaip Gorilla (arba GorillaBot), kuri yra pagrįsta atskleistu Mirai Botnet šaltinio kodu.

Pasak šią veiklą stebinčių ekspertų, „Gorilla“ robotų tinklas įvykdė daugiau nei 300 000 atakų komandų per nepaprastai trumpą laikotarpį, o 2024 m. rugsėjo mėn. atakų dažnis buvo stulbinantis. Vidutiniškai per dieną robotų tinklas paleidžiama apie 20 000 komandų, specialiai skirtų palengvinti paskirstytą atmetimą. paslaugų (DDoS) atakos.

Daugiau nei 100 šalių, kurioms taikomi DDoS bandymai

Pranešama, kad botnetas buvo nukreiptas į daugiau nei 100 šalių, pradėdamas atakas prieš universitetus, vyriausybės svetaines, telekomunikacijas, bankus, taip pat žaidimų ir lošimų pramonę. Labiausiai nukentėjusios šalys yra Kinija, JAV, Kanada ir Vokietija.

Ekspertai nurodo, kad Gorilla savo DDoS atakoms vykdyti pirmiausia naudoja tokius metodus kaip UDP potvynis, ACK BYPASS potvynis, Valve Source Engine (VSE) potvynis, SYN potvynis ir ACK potvynis. Dėl UDP protokolo be ryšio pobūdis įgalinamas savavališkas šaltinio IP klastojimas, dėl kurio gaunamas didelis srautas.

Be kelių procesoriaus architektūrų, įskaitant ARM, MIPS, x86_64 ir x86, palaikymo, botnetas turi galimybę prisijungti prie vieno iš penkių iš anksto nustatytų komandų ir valdymo (C2) serverių, kad gautų DDoS komandas.

Pažeidžiamumų ir patvarumo mechanizmo išnaudojimas

Pažymėtina, kad kenkėjiška programa apima funkcijas, skirtas išnaudoti Apache Hadoop YARN RPC saugos pažeidžiamumą, leidžiantį nuotoliniu būdu vykdyti kodą. Šis ypatingas trūkumas laukinėje gamtoje buvo naudojamas mažiausiai nuo 2021 m.

Siekdama užtikrinti išlikimą pagrindiniame kompiuteryje, kenkėjiška programa /etc/systemd/system/ kataloge sukuria paslaugos failą, pavadintą custom.service, kuris sukonfigūruotas taip, kad paleistų sistemą automatiškai. Šiai paslaugai pavesta atsisiųsti ir vykdyti apvalkalo scenarijų lol.sh iš nuotolinio serverio (pen.gorillafirewall.su). Be to, panašios komandos įterpiamos į /etc/inittab, /etc/profile ir /boot/bootcmd failus, kad būtų lengviau atsisiųsti ir vykdyti apvalkalo scenarijų paleidžiant sistemą arba vartotojui prisijungus.

Kenkėjiška programinė įranga pristato įvairius DDoS atakos metodus ir naudoja šifravimo algoritmus, kuriuos dažniausiai naudoja „Keksec“ grupė, kad paslėptų svarbią informaciją. Ji taip pat naudoja daugybę metodų, kad išlaikytų ilgalaikę daiktų interneto įrenginių ir debesies prieglobos valdymą, atspindintį sudėtingą supratimą apie besiformuojančioms robotų tinklų šeimoms būdingas priešpriešinio aptikimo priemones.

Kai kurie saugumo tyrinėtojai teigia, kad kenkėjiška programa „Gorilla Botnet“ nėra visiškai nauja, ji buvo aktyvi daugiau nei metus.