Botnet, Mirai botnet’e dayanmaktadır ve aktif olarak güncellendiğinden, yeni sürümler, işlevsel iyileştirmeler ve anti-analiz gibi ek özelliklere sahiptir.
Akamai’nin Güvenlik İstihbarat Müdahale Ekibi (SIRT) siber güvenlik araştırmacıları, HinataBot adında yepyeni bir botnet keşfetti. Bu botnet, hacim olarak birkaç terabayta kadar DDoS saldırıları başlatabilir. Dağıtımı 2023’ün başlarında başladı ve halen devam ediyor.
Yeni Botnet, 3.3 TBPS’lik DDoS Saldırıları Başlatabilir
Akamai’nin araştırma raporu, HinataBot’un 3,3 TBPS’ye ulaşan Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatabileceğini okudu. Adını ünlü anime dizisi Naruto’dan alan Go tabanlı bir botnet’tir. Araştırma yaparken Akamai’nin bal küpleri, CVE-2017-17215 ve CVE-2014-8361 dahil olmak üzere eski güvenlik açıklarından yararlanmaya çalışırken bu botnet’i tespit etti.
Kusurlar Realtek SDS, Hadoop Yarn sunucuları ve Huawei yönlendiricilerini etkiler. Saldırganlar bu açıklardan yararlanmak için kaba kuvvet, RCE yükleri ve bulaşma betikleri kullanır. Akamai’nin SSH ve HTTP bal küplerinde HinataBot kanıtı bulundu, ancak araştırmacılar kötü amaçlı yazılım yazarlarının bunu aktif olarak güncellediklerine inanıyor.
Hinata’yı Farklı Kılan Nedir?
Araştırmacılar, kötü amaçlı yazılımın işlevleri ve benzersiz nitelikleri hakkında daha derin bir anlayış elde etmek için bir dizi tersine mühendislik tekniği ve simüle edilmiş saldırılarla saldırganların C2 sunucusunu taklit ettiler. Daha önce DDoS flood saldırılarının birden çok protokol üzerinden başlatıldığını öğrendiler.
Ancak, yakın zamanda keşfedilen HinataBot yalnızca HTTP ve UDP sel tekniklerini kullanır. Saldırganlar, CVE-2014-8361 ile Realtek SDK’daki miniigd SOAP hizmetinden, belirtilmemiş bir kusurla açığa çıkan Hadoop YARN sunucularından ve CVE-2017-17215’e sahip Huawei HG532 yönlendiricilerinden yararlanır.
Saldırı Hacmi
Akami, HinataBot’un DDoS saldırısının HTTP için paket boyutunun 484 ila 589 bayta ulaştığını, UDP paketleri için boyutun ise 65.549 bayt ile oldukça büyük olduğunu belirtti. Düşük görünebilir, ancak hedefler için yeterli dijital yıkıma neden olabilir.
Ancak Akamai, kötü amaçlı yazılımın 20.000’den fazla istek oluşturabileceğini ve 3,4 MB’ye ulaşabileceğini, bin düğümle saldırı veri hacminin ise 3,3 TBPS’ye ulaşabileceğini belirtti.
Mirai İkili Dosyalarını Dağıtan Tehdit Aktörleri
Daha fazla araştırma, HinataBot’u çalıştıran tehdit aktörlerinin Mirai ikili dosyalarını dağıttığını ortaya çıkardı. Açık kaynaklı, Go tabanlı botnet’e birkaç selam var.
Akamai araştırmacıları, “HinataBot, GoBruteForcer gibi bot ağlarını ve yakın zamanda keşfedilen (SIRT tarafından) kmsdbot’u içeren, sürekli büyüyen Go tabanlı tehditler listesinin en yenisidir” dedi.
Kötü amaçlı yazılım, Mirai botnet tabanlıdır ve aktif olarak güncellendiği için yeni sürümler, işlevsel iyileştirmeler ve anti-analiz gibi ek özelliklere sahiptir. Önceki sürümleri UDP, HTTP, TCP ve ICMP taşmalarını desteklerken, yeni sürüm yalnızca UDP ve HTTP’yi destekler.
ALAKALI HABERLER
- Akamai, Rekor Kıran DDoS Saldırısını Hafifletti
- RapperBot, oyun sunucularını DDoS saldırılarıyla vuruyor
- Tor Ağı Bir Dizi Devam Eden DDoS Saldırısı Tarafından Vurdu