DDoS saldırısı, hedeflenen bir sunucunun, hizmetin veya ağın aşırı internet trafiğine boğularak normal işleyişini bozmayı amaçlayan bir siber saldırıdır.
Bu, botnet olarak bilinen ve hedefe çok sayıda istek göndererek bant genişliğini ve kaynaklarını etkili bir şekilde engelleyen, güvenliği ihlal edilmiş cihazlardan oluşan bir ağ aracılığıyla gerçekleştirilir.
NSFocus analistleri yakın zamanda 300.000’den fazla komutla DDoS saldırılarının kralı olarak ortaya çıkan ve “GorillaBot” olarak adlandırılan bir botnet tespit etti.
Gelişmiş güvenlik için yapay zekadan faydalanma => Ücretsiz Web Semineri
GorillaBot DDoS’un Kralı Olarak Ortaya Çıktı
Mirai kötü amaçlı yazılımının değiştirilmiş bir versiyonu olan Gorilla Botnet, Eylül 2024’te benzeri görülmemiş bir siber saldırı kampanyası başlattı.
24 günlük bir süre boyunca 113 ülkeyi hedef alan 300.000’den fazla DDoS saldırısı komutu yayınladı ve en çok etkilenen aşağıdaki ülkeler:-
- Çin (%20)
- Amerika Birleşik Devletleri (%19)
- Kanada (%16)
- Almanya (%6)
Bu botnet, ARM, MIPS, x86_64 ve x86 gibi başlıca CPU mimarilerinin çoğunu destekler. Bunun yanı sıra “UDP Flood (%41), “ACK BYPASS Flood (%24)” ve “VSE Flood (%12)” gibi çeşitli saldırı yöntemlerini de kullandı.
Gorilla Botnet, ‘üniversiteler’, ‘devlet web siteleri’, ‘telekomünikasyon’, ‘bankalar’ ve ‘oyun platformları’ gibi çeşitli sektörleri hedef aldı.
Önemli bilgileri gizlemek için “KekSec grubu” ile ilişkili şifreleme algoritmaları kullandı ve IoT cihazları ve bulut ana bilgisayarları üzerinde uzun vadeli kontrolü sürdürmek için birden fazla teknik uyguladı.
Botnet altyapısında, bağlantılar için rastgele seçilen beş yerleşik C&C sunucusu bulunur. NSFocus, cephaneliğinin ’19 farklı saldırı vektöründen’ oluştuğunu ve bunun karmaşık bir yaklaşımı gösterdiğini söyledi.
Ortaya çıkan bu tehdit, gelişmiş karşı tespit yeteneklerini sergiledi ve aynı zamanda siber tehditlerin “gelişen manzarasını” da vurguladı.
“Hadoop Yarn RPC”nin yetkisiz erişim güvenlik açığından “yarn_init” adı verilen bir işlev aracılığıyla yararlanarak saldırganlara yüksek ayrıcalıklar verme potansiyeli taşıyor.
GorillaBot kalıcılık için birden fazla sistem dosyası ve komut dosyası oluşturur ve aşağıda bunlardan bahsettik: –
- “Otomatik başlatma için /etc/systemd/system/ dizininde bir ‘özel.hizmet’ dosyası.”
- “/etc/inittab, /etc/profile’da değişiklikler.”
- “Sistem önyüklemesi veya kullanıcı oturum açma işlemi sırasında yürütülecek /boot/bootcmd.”
- “/etc/init.d/ dosyasında, /etc/rc.d/rc.local veya /etc/rc.conf dosyasında yumuşak bağlantı bulunan ‘mybinary’ komut dosyası.”
Bu mekanizmalar, ‘lol.sh’ adlı kötü amaçlı bir betiğin http’den otomatik olarak indirilmesini ve çalıştırılmasını sağlar.[:]//pen.gorillafirewall.su/.
Kötü amaçlı yazılım aynı zamanda potansiyel güvenlik tuzaklarını tespit etmek için “/proc dosya sisteminin” varlığını kontrol eden “bal küpü karşıtı önlemler” de içeriyor.
GorillaBot’un belirli şifreleme yöntemlerini kullanması, ‘lol.sh’ komut dosyası adı ve belirli kod imzaları, “KekSec” ile olası bir bağlantıya işaret ediyor.
IOC’ler
- 276adc6a55f13a229a5ff482e49f3a0b
- 63cbfc2c626da269c67506636bb1ea30
- 7f134c477f307652bb884cafe98b0bf2
- 3a3be84df2435623132efd1cd9467b17
- 03a59780b4c5a3c990d0031c959bf7cc
- 5b37be51ee3d41c07d02795a853b8577
- 15f6a606ab74b66e1f7e4a01b4a6b2d7
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri