DDoS-as-a-Service (Hizmet Olarak DDoS) pazarı, aşırı trafiğe sahip ağları boğmak için yeni bir kötü amaçlı yazılım buldu: Araştırmacılar tarafından DDoS saldırıları için MDBotnet.
DDoS Saldırıları için MDBotnet, Rus bilgisayar korsanları tarafından yapıldığından şüphelenilen bir siber suç forumunda keşfedildi.
Ömür boyu 2.500₽ (Rus Rublesi)’ye satılan DDoS saldırıları için MDBotnet, karanlık ağda ilan edildi ve Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) tarafından izlendi.
DDoS saldırıları için MDBotnet’in ayrıntıları
“Rakibinizin web sitesinde/sunucusunda güçlü DDoS | Botnet erişimi”, DDoS saldırıları için MDBotnet’i ücretsiz test deneme saldırılarıyla sattı.
MDBotnet’in alıcılarına, isteklerin hedeflenen sunucu üzerindeki etkisinin doğruluğunu kontrol etmeleri için kötü amaçlı yazılımı 5 ila 10 dakika test etmeleri verildi.
Satıcılar, hizmetleriyle her zaman çevrimiçi olduklarını iddia ettiler ve öngörülemeyen olaylarda ticaretin her iki tarafını da serbest bırakan sözleşmelerde ortak bir madde olan mücbir sebep durumunda geri ödeme teklif ettiler.
Ayrıca, DDoS saldırıları için MDBotnet kullanarak hedefe verilen hasarı ölçmek için hedefin 24 saat izlenmesini de sağladılar.
Satıcı ayrıca Hizmet olarak DDoS’un WEB (clearnet), VPS/ VDS, IP-TV, TCP/ UDP Uygulamalarına saldırabileceğini iddia etti.
DDoS saldırıları için MDBotnet: Teknik ayrıntılar
Yürütülebilir dosyanın adı SlavaRussia.exe idi ve bir HTTP/SYN sel saldırısı başlatabilirdi. SYN flood saldırısı veya TCP SYN flood, TCP/IP el sıkışmasındaki yaygın bir güvenlik açığından yararlanır.
Bu tür saldırılar meşru ağ trafiğine bağlanmayı engeller ve milyonlarca bağlantı alabilen yüksek kapasiteli cihazları etkileyebilir.
- CRIL araştırmacıları tarafından araştırılan örnek hash şuydu: (SHA256), ae582545c3196afa5ac6419db9d57b11633e8282f29e3cd48fe31b9dd250a963
.NET derleyicisinde GUI tabanlı 32 bit yürütülebilir bir dosyaydı.
- DDoS saldırıları için MDBotnet aşağıdaki işlevleri yerine getirdi:
- IP adresine sahip bir sunucuya bir TCP soket bağlantısına bağlanın (212[.]109[.]199[.]128) ve bağlantı noktası numarası (4202)
- adlı belirli bir dosya için %appdata% klasörünün yolunu alın exe. Dosyanın dizinde olmaması durumunda, MDBotnet bir GetUpdater Update sınıfından mesaj Update.GetUpdater indirmek Güncelleyici.exe yürütülebilir dosyanın (svhost.exe) en son sürümünü indirmek için.
- exe yürütülür ve %appdata% dizinine bırakılan svhost.exe dosyasının indirilmesine yol açar.
- DDoS saldırıları için MDBotnet, hedefin sisteminde kalıcılığı sürdürmek için bir kayıt defteri anahtarı oluşturur, böylece svhost.exe başlangıçta otomatik olarak çalışır.
DDoS saldırıları için MDBotnet, hedeflenen web sitesine tekrarlayan HTTP GET istekleri göndermek için HTTPGetAttack komutunu alır.
MDBotnet’ten gelen saldırılar, yalnızca web sitesini durdurmakla kalmaz, aynı zamanda trafiğe ve hedeflenen sistem yeteneklerine bağlı olarak sistemin çökmesine de yol açar.
CRIL araştırmacıları Cyble blogunda “Analiz edilen örnekte, SYNattack sınıfının kullanımının yürütülebilir ikili dosyanın oluşturulması sırasında devre dışı bırakılmış olabileceğini belirtmekte fayda var” dedi.
Kodun ayrıca, bilgisayar korsanının C2 sunucusuna bağlandığı Threat.Sleep yöntemi kullanılarak 2000 milisaniye veya 2 saniye uykuda kaldığı da bulundu.
CRIL araştırmacıları, “Şu anda, MDBotnet’ten sorumlu TA’lar aktif olarak yer alıyor ancak sınırlı işlevselliklere sahip” dedi.
Blog, “SYN sel saldırısının kodu kötü amaçlı yazılımda bulunsa da, etkin değil, bu da kötü amaçlı yazılımın hala geliştirilme aşamasında olduğunu gösteriyor” sonucuna vardı.
DDoS saldırılarına karşı güvenliğin sürdürülmesi, kötü amaçlı yazılım saldırıları savunmasız yazılımlar üzerinde geliştiğinden, yayınlanan yamalarla yazılımın sürekli olarak güncellenmesini gerektirir.
Kimlik avı e-postaları ve erişim elde etmek için kaba kuvvet saldırıları dahil olmak üzere insan hatasına dayalı saldırılarda başarısız olan siber suçlular, sabit yazılım, donanım ve yazılımdaki kusurları arar.
Cyble kısa süre önce CVE-2023-25717’nin DDoS saldırıları için Telegram’da satılan yeni bir Botnet olan AndoryuBot ile aktif olarak istismar edildiğini kaydetti.