గొరిల్లా బోట్‌నెట్

Cybersecurity పరిశోధకులు గొరిల్లా (లేదా GorillaBot) అని పిలువబడే బోట్‌నెట్ మాల్వేర్ యొక్క కొత్త కుటుంబాన్ని గుర్తించారు, ఇది మిరాయ్ బోట్‌నెట్ యొక్క బహిర్గత సోర్స్ కోడ్ ఆధారంగా రూపొందించబడింది.

ఈ కార్యకలాపాన్ని పర్యవేక్షిస్తున్న నిపుణుల అభిప్రాయం ప్రకారం, సెప్టెంబర్ 2024లో ఆశ్చర్యకరమైన దాడి రేటుతో, గొరిల్లా బోట్‌నెట్ చాలా తక్కువ వ్యవధిలో 300,000 కంటే ఎక్కువ అటాక్ కమాండ్‌లను అమలు చేసింది. సగటున, బోట్‌నెట్ ప్రతిరోజూ దాదాపు 20,000 కమాండ్‌లను ప్రారంభించింది, ప్రత్యేకంగా పంపిణీ చేయబడిన తిరస్కరణను సులభతరం చేయడం లక్ష్యంగా పెట్టుకుంది- సర్వీస్ (DDoS) దాడులు.

DDoS ప్రయత్నాల ద్వారా 100 కంటే ఎక్కువ దేశాలు లక్ష్యంగా చేసుకున్నాయి

బోట్‌నెట్ విశ్వవిద్యాలయాలు, ప్రభుత్వ వెబ్‌సైట్‌లు, టెలికమ్యూనికేషన్‌లు, బ్యాంకులు, అలాగే గేమింగ్ మరియు గ్యాంబ్లింగ్ పరిశ్రమలపై దాడులను ప్రారంభించి, 100 దేశాలను లక్ష్యంగా చేసుకున్నట్లు నివేదించబడింది. ఎక్కువగా ప్రభావితమైన దేశాలలో చైనా, యునైటెడ్ స్టేట్స్, కెనడా మరియు జర్మనీ ఉన్నాయి.

గొరిల్లా తన DDoS దాడులను నిర్వహించడానికి ప్రధానంగా UDP వరద, ACK బైపాస్ వరద, వాల్వ్ సోర్స్ ఇంజిన్ (VSE) వరద, SYN వరద మరియు ACK వరద వంటి పద్ధతులను ఉపయోగిస్తుందని నిపుణులు సూచిస్తున్నారు. UDP ప్రోటోకాల్ యొక్క కనెక్షన్‌లెస్ స్వభావం ఏకపక్ష సోర్స్ IP స్పూఫింగ్‌ను ప్రారంభిస్తుంది, ఫలితంగా ట్రాఫిక్ గణనీయంగా పెరుగుతుంది.

ARM, MIPS, x86_64 మరియు x86తో సహా బహుళ CPU ఆర్కిటెక్చర్‌లకు దాని మద్దతుతో పాటు, DDoS ఆదేశాలను స్వీకరించడానికి బోట్‌నెట్ ఐదు ముందే నిర్వచించిన కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌లలో ఒకదానికి కనెక్ట్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది.

దుర్బలత్వం మరియు పెర్సిస్టెన్స్ మెకానిజం ఎక్స్‌ప్లోయిటింగ్

గుర్తించదగిన అభివృద్ధిలో, మాల్వేర్ Apache Hadoop YARN RPCలో భద్రతా దుర్బలత్వాన్ని ఉపయోగించుకునే ఫంక్షన్‌లను కలిగి ఉంది, ఇది రిమోట్ కోడ్ అమలును సాధించడానికి అనుమతిస్తుంది. ఈ ప్రత్యేక లోపం కనీసం 2021 నుండి అడవిలో ఉపయోగించబడుతోంది.

హోస్ట్‌పై నిలకడను నిర్ధారించడానికి, మాల్వేర్ /etc/systemd/system/ డైరెక్టరీలో custom.service పేరుతో ఒక సర్వీస్ ఫైల్‌ను సృష్టిస్తుంది, ఇది సిస్టమ్ స్టార్టప్‌లో ఆటోమేటిక్‌గా రన్ అయ్యేలా కాన్ఫిగర్ చేయబడింది. రిమోట్ సర్వర్ (pen.gorillafirewall.su) నుండి lol.sh అనే షెల్ స్క్రిప్ట్‌ని డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం ఈ సేవకు బాధ్యత వహిస్తుంది. అదనంగా, సిస్టమ్ స్టార్టప్ లేదా యూజర్ లాగిన్ అయినప్పుడు షెల్ స్క్రిప్ట్‌ని డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం సులభతరం చేయడానికి ఇలాంటి ఆదేశాలు /etc/inittab, /etc/profile, మరియు /boot/bootcmd ఫైల్‌లలోకి చొప్పించబడతాయి.

మాల్వేర్ అనేక రకాల DDoS దాడి పద్ధతులను పరిచయం చేస్తుంది మరియు క్లిష్టమైన సమాచారాన్ని అస్పష్టం చేయడానికి Keksec సమూహం సాధారణంగా ఉపయోగించే ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లను ఉపయోగిస్తుంది. ఇది IoT పరికరాలు మరియు క్లౌడ్ హోస్ట్‌లపై దీర్ఘకాలిక నియంత్రణను నిర్వహించడానికి బహుళ సాంకేతికతలను కూడా ఉపయోగిస్తుంది, ఇది అభివృద్ధి చెందుతున్న బోట్‌నెట్ కుటుంబాలకు విలక్షణమైన కౌంటర్-డిటెక్షన్ చర్యల యొక్క అధునాతన అవగాహనను ప్రతిబింబిస్తుంది.

కొంతమంది భద్రతా పరిశోధకులు గొరిల్లా బోట్‌నెట్ మాల్వేర్ పూర్తిగా కొత్తది కాదని, ఒక సంవత్సరం పాటు యాక్టివ్‌గా ఉందని సూచిస్తున్నారు.