கொரில்லா பாட்நெட்

Cybersecurity ஆராய்ச்சியாளர்கள், Mirai Botnet இன் வெளிப்படுத்தப்பட்ட மூலக் குறியீட்டை அடிப்படையாகக் கொண்ட Gorilla (அல்லது GorillaBot) எனப்படும் பாட்நெட் மால்வேரின் புதிய குடும்பத்தை அடையாளம் கண்டுள்ளனர்.

இந்தச் செயல்பாட்டைக் கண்காணிக்கும் நிபுணர்களின் கூற்றுப்படி, கொரில்லா பாட்நெட் செப்டம்பர் 2024 இல் வியக்கத்தக்க தாக்குதல் விகிதத்துடன், குறிப்பிடத்தக்க வகையில் குறுகிய காலத்திற்குள் 300,000 க்கும் மேற்பட்ட தாக்குதல் கட்டளைகளை செயல்படுத்தியது. சராசரியாக, பாட்நெட் தினசரி சுமார் 20,000 கட்டளைகளை அறிமுகப்படுத்தியது, குறிப்பாக விநியோகிக்கப்பட்ட மறுப்பை எளிதாக்குவதை நோக்கமாகக் கொண்டது. சேவையின் (DDoS) தாக்குதல்கள்.

DDoS முயற்சிகளால் 100 க்கும் மேற்பட்ட நாடுகள் இலக்கு வைக்கப்பட்டன

போட்நெட் 100 க்கும் மேற்பட்ட நாடுகளை குறிவைத்து, பல்கலைக்கழகங்கள், அரசாங்க வலைத்தளங்கள், தொலைத்தொடர்பு, வங்கிகள் மற்றும் கேமிங் மற்றும் சூதாட்டத் தொழில்களுக்கு எதிராக தாக்குதல்களை நடத்துவதாக தெரிவிக்கப்பட்டுள்ளது. சீனா, அமெரிக்கா, கனடா மற்றும் ஜெர்மனி ஆகிய நாடுகள் அதிகம் பாதிக்கப்பட்டுள்ளன.

கொரில்லா முதன்மையாக UDP வெள்ளம், ACK பைபாஸ் வெள்ளம், வால்வ் சோர்ஸ் எஞ்சின் (VSE) வெள்ளம், SYN வெள்ளம் மற்றும் ACK வெள்ளம் போன்ற முறைகளை தனது DDoS தாக்குதல்களைச் செயல்படுத்த பயன்படுத்துகிறது என்று நிபுணர்கள் குறிப்பிடுகின்றனர். UDP நெறிமுறையின் இணைப்பு இல்லாத தன்மை தன்னிச்சையான மூல IP ஸ்பூஃபிங்கை செயல்படுத்துகிறது, இதன் விளைவாக கணிசமான அளவு போக்குவரத்து ஏற்படுகிறது.

ARM, MIPS, x86_64 மற்றும் x86 உள்ளிட்ட பல CPU கட்டமைப்புகளுக்கான ஆதரவுடன், DDoS கட்டளைகளைப் பெற ஐந்து முன் வரையறுக்கப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களில் ஒன்றை இணைக்கும் திறனை பாட்நெட் கொண்டுள்ளது.

சுரண்டல் பாதிப்புகள் மற்றும் நிலைத்தன்மை பொறிமுறை

ஒரு குறிப்பிடத்தக்க வளர்ச்சியில், தீம்பொருள் Apache Hadoop YARN RPC இல் ஒரு பாதுகாப்பு பாதிப்பைப் பயன்படுத்துவதற்கான செயல்பாடுகளை ஒருங்கிணைக்கிறது, இது ரிமோட் குறியீடு செயல்படுத்தலை அடைய அனுமதிக்கிறது. இந்த குறிப்பிட்ட குறைபாடு குறைந்தது 2021 முதல் காடுகளில் பயன்படுத்தப்படுகிறது.

ஹோஸ்டில் நிலைத்திருப்பதை உறுதிசெய்ய, மால்வேர் /etc/systemd/system/ கோப்பகத்தில் custom.service என்ற சேவைக் கோப்பை உருவாக்குகிறது, இது கணினி தொடக்கத்தில் தானாக இயங்கக் கட்டமைக்கப்பட்டுள்ளது. தொலைநிலை சேவையகத்திலிருந்து (pen.gorillafirewall.su) lol.sh எனப்படும் ஷெல் ஸ்கிரிப்டைப் பதிவிறக்கம் செய்து செயல்படுத்துவது இந்தச் சேவையாகும். கூடுதலாக, கணினி தொடக்கத்தில் அல்லது பயனர் உள்நுழைவில் ஷெல் ஸ்கிரிப்டை பதிவிறக்கம் செய்து செயல்படுத்துவதற்கு வசதியாக /etc/inittab, /etc/profile, மற்றும் /boot/bootcmd கோப்புகளில் இதே போன்ற கட்டளைகள் செருகப்படுகின்றன.

தீம்பொருள் பல்வேறு DDoS தாக்குதல் முறைகளை அறிமுகப்படுத்துகிறது மற்றும் முக்கியமான தகவலை மறைப்பதற்கு Keksec குழுவால் பொதுவாகப் பயன்படுத்தப்படும் குறியாக்க வழிமுறைகளைப் பயன்படுத்துகிறது. இது IoT சாதனங்கள் மற்றும் கிளவுட் ஹோஸ்ட்கள் மீது நீண்ட கால கட்டுப்பாட்டை பராமரிக்க பல நுட்பங்களைப் பயன்படுத்துகிறது, இது வளர்ந்து வரும் பாட்நெட் குடும்பங்களின் பொதுவான எதிர்-கண்டறிதல் நடவடிக்கைகளின் அதிநவீன விழிப்புணர்வை பிரதிபலிக்கிறது.

சில பாதுகாப்பு ஆய்வாளர்கள், கொரில்லா பாட்நெட் மால்வேர் முற்றிலும் புதியதல்ல, ஒரு வருடத்திற்கும் மேலாக செயலில் உள்ளது.