Gorilla Botnet

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong pamilya ng botnet malware na kilala bilang Gorilla (o GorillaBot), na batay sa isiniwalat na source code ng Mirai Botnet .

Ayon sa mga eksperto na sinusubaybayan ang aktibidad na ito, ang Gorilla botnet ay nagsagawa ng higit sa 300,000 attack commands sa loob ng napakaikling panahon, na may kahanga-hangang rate ng pag-atake noong Setyembre 2024. Sa karaniwan, ang botnet ay naglunsad ng humigit-kumulang 20,000 command araw-araw, partikular na naglalayong mapadali ang distributed denial- of-service (DDoS) na pag-atake.

Higit sa 100 Bansa na Tina-target ng Mga Pagsubok ng DDoS

Ang botnet ay iniulat na nag-target ng higit sa 100 mga bansa, naglulunsad ng mga pag-atake laban sa mga unibersidad, mga website ng gobyerno, telekomunikasyon, mga bangko, pati na rin ang mga industriya ng gaming at pagsusugal. Ang pinaka-apektadong bansa ay kinabibilangan ng China, United States, Canada at Germany.

Ipinapahiwatig ng mga eksperto na ang Gorilla ay pangunahing gumagamit ng mga pamamaraan tulad ng UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood, at ACK flood upang maisagawa ang mga pag-atake ng DDoS nito. Ang walang koneksyon na katangian ng UDP protocol ay nagbibigay-daan sa arbitrary na source IP spoofing, na nagreresulta sa isang malaking dami ng trapiko.

Bilang karagdagan sa suporta nito para sa maraming arkitektura ng CPU, kabilang ang ARM, MIPS, x86_64, at x86, ang botnet ay nilagyan ng kakayahang kumonekta sa isa sa limang paunang natukoy na Command-and-Control (C2) na server upang makatanggap ng mga DDoS command.

Pinagsasamantalahan ang Mga Kahinaan at Mekanismo ng Pagtitiyaga

Sa isang kapansin-pansing pag-unlad, isinasama ng malware ang mga function upang pagsamantalahan ang isang kahinaan sa seguridad sa Apache Hadoop YARN RPC, na nagpapahintulot dito na makamit ang remote code execution. Ang partikular na kapintasan na ito ay pinagsamantalahan sa ligaw mula noong hindi bababa sa 2021.

Upang matiyak ang pagtitiyaga sa host, ang malware ay gumagawa ng isang service file na pinangalanang custom.service sa /etc/systemd/system/ directory, na naka-configure na awtomatikong tumakbo sa system startup. Ang serbisyong ito ay may tungkuling mag-download at magsagawa ng shell script na tinatawag na lol.sh mula sa isang malayuang server (pen.gorillafirewall.su). Bukod pa rito, ang mga katulad na command ay ipinapasok sa /etc/inittab, /etc/profile, at /boot/bootcmd na mga file upang mapadali ang pag-download at pagpapatupad ng shell script sa pagsisimula ng system o pag-login ng user.

Ang malware ay nagpapakilala ng iba't ibang paraan ng pag-atake ng DDoS at gumagamit ng mga algorithm ng pag-encrypt na karaniwang ginagamit ng grupong Keksec upang itago ang kritikal na impormasyon. Gumagamit din ito ng maraming diskarte upang mapanatili ang pangmatagalang kontrol sa mga IoT device at cloud host, na nagpapakita ng isang sopistikadong kaalaman sa mga hakbang sa counter-detection na tipikal ng mga umuusbong na pamilya ng botnet.

Iminumungkahi ng ilang mananaliksik sa seguridad na ang Gorilla Botnet malware ay hindi ganap na bago, na naging aktibo sa loob ng mahigit isang taon.