गोरिल्ला बोटनेट

साइबरसुरक्षा अनुसन्धानकर्ताहरूले गोरिल्ला (वा गोरिल्लाबोट) भनेर चिनिने बोटनेट मालवेयरको नयाँ परिवार पहिचान गरेका छन्, जुन मिराई बोटनेटको खुलासा स्रोत कोडमा आधारित छ।

यस गतिविधिको अनुगमन गर्ने विज्ञहरूका अनुसार, गोरिल्ला बोटनेटले सेप्टेम्बर 2024 मा आश्चर्यजनक आक्रमण दरको साथ उल्लेखनीय छोटो अवधिमा 300,000 भन्दा बढी आक्रमण आदेशहरू कार्यान्वयन गर्‍यो। औसतमा, बोटनेटले दैनिक लगभग 20,000 आदेशहरू सुरु गर्‍यो, विशेष गरी वितरित अस्वीकारलाई सुविधा दिने उद्देश्यले। अफ-सर्भिस (DDoS) आक्रमणहरू।

DDoS प्रयासहरूद्वारा लक्षित १०० भन्दा बढी देशहरू

बोटनेटले विश्वविद्यालयहरू, सरकारी वेबसाइटहरू, दूरसञ्चार, बैंकहरू, साथै गेमिङ र जुवा उद्योगहरू विरुद्ध आक्रमण सुरु गर्दै १०० भन्दा बढी देशहरूलाई लक्षित गरेको रिपोर्ट गरिएको छ। सबैभन्दा बढी प्रभावित राष्ट्रहरूमा चीन, अमेरिका, क्यानडा र जर्मनी पर्छन्।

विज्ञहरूले संकेत गर्छन् कि गोरिल्लाले मुख्य रूपमा UDP फ्लड, ACK BYPASS फ्लड, भल्भ सोर्स इन्जिन (VSE) फ्लड, SYN फ्लड, र ACK फ्लड यसको DDoS आक्रमणहरू गर्नका लागि विधिहरू प्रयोग गर्दछ। UDP प्रोटोकलको जडानविहीन प्रकृतिले स्वेच्छाचारी स्रोत IP स्पूफिङलाई सक्षम बनाउँछ, जसले गर्दा ट्राफिकको ठूलो मात्रा हुन्छ।

ARM, MIPS, x86_64, र x86 सहित धेरै CPU आर्किटेक्चरहरूको लागि यसको समर्थनको अतिरिक्त, बोटनेट DDoS आदेशहरू प्राप्त गर्न पाँच पूर्वनिर्धारित कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरू मध्ये एकमा जडान गर्ने क्षमतासँग सुसज्जित छ।

कमजोरी र दृढता संयन्त्रको शोषण

एक उल्लेखनीय विकासमा, मालवेयरले Apache Hadoop YARN RPC मा सुरक्षा जोखिमको शोषण गर्न कार्यहरू समावेश गर्दछ, यसले रिमोट कोड कार्यान्वयन प्राप्त गर्न अनुमति दिन्छ। यो विशेष त्रुटि कम्तिमा 2021 देखि जंगली मा शोषण गरिएको छ।

होस्टमा निरन्तरता सुनिश्चित गर्न, मालवेयरले /etc/systemd/system/ डाइरेक्टरीमा custom.service नामको सेवा फाइल सिर्जना गर्दछ, जुन प्रणाली स्टार्टअपमा स्वचालित रूपमा चल्नको लागि कन्फिगर गरिएको छ। यो सेवालाई टाढाको सर्भर (pen.gorillafirewall.su) बाट lol.sh भनिने शेल स्क्रिप्ट डाउनलोड गर्ने र कार्यान्वयन गर्ने जिम्मा दिइएको छ। थप रूपमा, समान आदेशहरू /etc/inittab, /etc/profile, र /boot/bootcmd फाइलहरूमा प्रणाली स्टार्टअप वा प्रयोगकर्ता लगइनमा शेल स्क्रिप्टको डाउनलोड र कार्यान्वयन गर्नका लागि घुसाइन्छ।

मालवेयरले विभिन्न प्रकारका DDoS आक्रमण विधिहरू परिचय गराउँछ र महत्वपूर्ण जानकारी अस्पष्ट गर्न Keksec समूहले सामान्यतया प्रयोग गर्ने इन्क्रिप्शन एल्गोरिदमहरू प्रयोग गर्दछ। यसले IoT उपकरणहरू र क्लाउड होस्टहरूमा दीर्घकालीन नियन्त्रण कायम राख्न धेरै प्रविधिहरू पनि प्रयोग गर्दछ, उभरिरहेको बोटनेट परिवारहरूको विशिष्ट काउन्टर-पत्ता लगाउने उपायहरूको परिष्कृत जागरूकता झल्काउँछ।

केही सुरक्षा अनुसन्धानकर्ताहरूले सुझाव दिन्छन् कि गोरिल्ला बोटनेट मालवेयर पूर्ण रूपमा नयाँ होइन, एक वर्ष भन्दा बढी समयदेखि सक्रिय छ।