Gorilla Botnet

Penyelidik keselamatan siber telah mengenal pasti keluarga baru malware botnet yang dikenali sebagai Gorilla (atau GorillaBot), yang berdasarkan kod sumber Mirai Botnet yang didedahkan.

Menurut pakar yang memantau aktiviti ini, botnet Gorilla melaksanakan lebih daripada 300,000 arahan serangan dalam tempoh yang sangat singkat, dengan kadar serangan yang menakjubkan pada September 2024. Secara purata, botnet melancarkan sekitar 20,000 arahan setiap hari, khusus bertujuan untuk memudahkan penafian yang diedarkan- serangan of-service (DDoS).

Lebih 100 Negara Disasarkan oleh Percubaan DDoS

Botnet itu dilaporkan telah menyasarkan lebih 100 negara, melancarkan serangan terhadap universiti, tapak web kerajaan, telekomunikasi, bank, serta industri perjudian dan perjudian. Negara yang paling terjejas termasuk China, Amerika Syarikat, Kanada dan Jerman.

Pakar menunjukkan bahawa Gorilla terutamanya menggunakan kaedah seperti banjir UDP, banjir ACK BYPASS, banjir Enjin Sumber Injap (VSE), banjir SYN dan banjir ACK untuk melakukan serangan DDoSnya. Sifat tanpa sambungan protokol UDP membolehkan pemalsuan IP sumber sewenang-wenangnya, menghasilkan jumlah trafik yang besar.

Selain sokongannya untuk berbilang seni bina CPU, termasuk ARM, MIPS, x86_64 dan x86, botnet dilengkapi dengan keupayaan untuk menyambung ke salah satu daripada lima pelayan Command-and-Control (C2) yang telah ditetapkan untuk menerima arahan DDoS.

Memanfaatkan Kerentanan dan Mekanisme Kegigihan

Dalam perkembangan yang ketara, perisian hasad itu menggabungkan fungsi untuk mengeksploitasi kelemahan keselamatan dalam Apache Hadoop YARN RPC, membolehkan ia mencapai pelaksanaan kod jauh. Kepincangan khusus ini telah dieksploitasi di alam liar sejak sekurang-kurangnya 2021.

Untuk memastikan kegigihan pada hos, perisian hasad mencipta fail perkhidmatan bernama custom.service dalam direktori /etc/systemd/system/, yang dikonfigurasikan untuk dijalankan secara automatik pada permulaan sistem. Perkhidmatan ini ditugaskan untuk memuat turun dan melaksanakan skrip shell yang dipanggil lol.sh daripada pelayan jauh (pen.gorillafirewall.su). Selain itu, arahan serupa dimasukkan ke dalam fail /etc/inittab, /etc/profile, dan /boot/bootcmd untuk memudahkan muat turun dan pelaksanaan skrip shell semasa sistem dimulakan atau log masuk pengguna.

Malware ini memperkenalkan pelbagai kaedah serangan DDoS dan menggunakan algoritma penyulitan yang biasa digunakan oleh kumpulan Keksec untuk mengaburkan maklumat kritikal. Ia juga menggunakan pelbagai teknik untuk mengekalkan kawalan jangka panjang ke atas peranti IoT dan hos awan, mencerminkan kesedaran yang canggih tentang langkah pengesanan balas yang tipikal bagi keluarga botnet yang baru muncul.

Sesetengah penyelidik keselamatan mencadangkan bahawa perisian hasad Gorilla Botnet bukanlah baharu sepenuhnya, telah aktif selama lebih setahun.