Gorilla Botnet

Siber güvenlik araştırmacıları, Mirai Botnet'in açıklanan kaynak koduna dayanan Gorilla (veya GorillaBot) olarak bilinen yeni bir botnet kötü amaçlı yazılım ailesi tespit ettiler.

Bu aktiviteyi izleyen uzmanlara göre Gorilla botnet'i, Eylül 2024'te şaşırtıcı bir saldırı oranıyla, oldukça kısa bir süre içinde 300.000'den fazla saldırı komutu yürüttü. Ortalama olarak botnet, özellikle dağıtılmış hizmet reddi (DDoS) saldırılarını kolaylaştırmayı amaçlayan günlük yaklaşık 20.000 komut başlattı.

100'den Fazla Ülke DDoS Girişimlerinin Hedefinde

Botnet'in 100'den fazla ülkeyi hedef aldığı, üniversitelere, hükümet web sitelerine, telekomünikasyona, bankalara ve oyun ve kumar endüstrilerine saldırılar düzenlediği bildirildi. En çok etkilenen ülkeler arasında Çin, Amerika Birleşik Devletleri, Kanada ve Almanya yer alıyor.

Uzmanlar, Gorilla'nın DDoS saldırılarını gerçekleştirmek için öncelikle UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood ve ACK flood gibi yöntemleri kullandığını belirtiyor. UDP protokolünün bağlantısız yapısı, keyfi kaynak IP sahteciliğine olanak sağlıyor ve bu da önemli miktarda trafiğe neden oluyor.

Botnet, ARM, MIPS, x86_64 ve x86 dahil olmak üzere birden fazla CPU mimarisini desteklemesinin yanı sıra, DDoS komutlarını almak için beş adet önceden tanımlanmış Komuta ve Kontrol (C2) sunucusundan birine bağlanma yeteneği ile donatılmıştır.

Güvenlik Açıklarından ve Kalıcılık Mekanizmasından Yararlanma

Dikkat çekici bir gelişmede, kötü amaçlı yazılım Apache Hadoop YARN RPC'deki bir güvenlik açığını istismar etmek için işlevler içeriyor ve uzaktan kod yürütmeyi başarmasına olanak sağlıyor. Bu belirli kusur en azından 2021'den beri vahşi doğada istismar ediliyor.

Ana bilgisayarda kalıcılığı sağlamak için kötü amaçlı yazılım, /etc/systemd/system/ dizininde custom.service adlı bir hizmet dosyası oluşturur ve bu dosya sistem başlangıcında otomatik olarak çalışacak şekilde yapılandırılır. Bu hizmet, lol.sh adlı bir kabuk betiğini uzak bir sunucudan (pen.gorillafirewall.su) indirmek ve yürütmekle görevlendirilir. Ek olarak, benzer komutlar /etc/inittab, /etc/profile ve /boot/bootcmd dosyalarına eklenerek kabuk betiğinin sistem başlangıcında veya kullanıcı oturum açma sırasında indirilmesi ve yürütülmesi kolaylaştırılır.

Kötü amaçlı yazılım çeşitli DDoS saldırı yöntemleri sunar ve Keksec grubu tarafından kritik bilgileri gizlemek için yaygın olarak kullanılan şifreleme algoritmalarını kullanır. Ayrıca, IoT cihazları ve bulut ana bilgisayarları üzerinde uzun vadeli kontrolü sürdürmek için birden fazla teknik kullanır ve bu da ortaya çıkan botnet ailelerine özgü karşı tespit önlemlerine ilişkin gelişmiş bir farkındalığı yansıtır.

Bazı güvenlik araştırmacıları, Gorilla Botnet zararlı yazılımının aslında tamamen yeni olmadığını, bir yıldan uzun süredir aktif olduğunu öne sürüyor.