Botnet Gorilla

Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali nową rodzinę złośliwego oprogramowania typu botnet, znaną jako Gorilla (lub GorillaBot), która opiera się na ujawnionym kodzie źródłowym botnetu Mirai .

Według ekspertów monitorujących tę aktywność, botnet Gorilla wykonał ponad 300 000 poleceń ataku w niezwykle krótkim czasie, osiągając zadziwiającą liczbę ataków we wrześniu 2024 r. Średnio botnet uruchamiał około 20 000 poleceń dziennie, których celem było ułatwienie ataków typu „odmowa usługi” (DDoS).

Ponad 100 krajów celem ataków DDoS

Botnet miał na celu ponad 100 krajów, przeprowadzając ataki na uniwersytety, strony rządowe, telekomunikację, banki, a także branżę gier i hazardu. Najbardziej dotknięte kraje to Chiny, Stany Zjednoczone, Kanada i Niemcy.

Eksperci wskazują, że Gorilla stosuje przede wszystkim takie metody jak UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood i ACK flood, aby przeprowadzać ataki DDoS. Bezpołączeniowa natura protokołu UDP umożliwia podszywanie się pod dowolne źródłowe IP, co skutkuje znaczną ilością ruchu.

Oprócz obsługi wielu architektur procesorów, w tym ARM, MIPS, x86_64 i x86, botnet jest wyposażony w możliwość łączenia się z jednym z pięciu zdefiniowanych serwerów Command-and-Control (C2) w celu odbierania poleceń DDoS.

Wykorzystanie luk i mechanizm trwałości

W godnym uwagi rozwoju, malware zawiera funkcje, aby wykorzystać lukę w zabezpieczeniach Apache Hadoop YARN RPC, umożliwiając zdalne wykonanie kodu. Ta konkretna luka jest wykorzystywana w środowisku naturalnym od co najmniej 2021 r.

Aby zapewnić trwałość na hoście, malware tworzy plik usługi o nazwie custom.service w katalogu /etc/systemd/system/, który jest skonfigurowany tak, aby uruchamiał się automatycznie podczas uruchamiania systemu. Ta usługa ma za zadanie pobieranie i wykonywanie skryptu powłoki o nazwie lol.sh ze zdalnego serwera (pen.gorillafirewall.su). Ponadto podobne polecenia są wstawiane do plików /etc/inittab, /etc/profile i /boot/bootcmd, aby ułatwić pobieranie i wykonywanie skryptu powłoki podczas uruchamiania systemu lub logowania użytkownika.

Malware wprowadza różnorodne metody ataków DDoS i wykorzystuje algorytmy szyfrowania powszechnie używane przez grupę Keksec do ukrywania krytycznych informacji. Wykorzystuje również wiele technik do utrzymywania długoterminowej kontroli nad urządzeniami IoT i hostami w chmurze, odzwierciedlając wyrafinowaną świadomość środków przeciwdziałania typowymi dla powstających rodzin botnetów.

Niektórzy badacze bezpieczeństwa uważają, że złośliwe oprogramowanie Gorilla Botnet nie jest zupełnie nowe, ponieważ jest aktywne już od ponad roku.