Yeni ortaya çıkan Gorilla Botnet, 4 ve 27 Eylül tarihleri arasında 100’den fazla ülkedeki hedeflere karşı 300.000’den fazla DDoS saldırısı başlatarak benzeri görülmemiş bir etkinlik sergiledi.
Mirai’nin değiştirilmiş bir versiyonu olan botnet, birden fazla CPU mimarisini destekliyor ve virüslü cihazlar üzerinde uzun vadeli kontrolü sürdürmek için gelişmiş teknikler kullanıyor.
Temel bilgileri gizlemek için KekSec grubu tarafından yaygın olarak kullanılan şifreleme algoritmalarından yararlanır ve yüksek düzeyde karmaşıklık ve kaçınma yetenekleri sergiler.
Gorilla Botnet’in üniversiteler, devlet web siteleri, telekomünikasyon şirketleri ve bankalar gibi kritik altyapı sektörlerini hedeflemesi, botnet’in önemli düzeyde aksama potansiyeline dikkat çekiyor.
Kötü şöhretli bir DDoS botnet, Eylül 2024’te günde 300.000’den fazla saldırı komutu yayınlayarak önemli bir kampanya başlattı.
113 ülkede çok çeşitli kurbanları hedef alan botnet, öncelikli olarak UDP Flood saldırılarını kullandı ve güçlendirilmiş trafik için protokolün bağlantısız doğasından yararlandı.
Çin, Amerika Birleşik Devletleri, Kanada ve Almanya bu saldırıların en ağır darbesini alırken, kritik altyapı kuruluşları özellikle savunmasız durumdaydı.
Botnet’in ısrarlı ve ayrım gözetmeyen hedeflemesi, kanıtlanmış saldırı yöntemlerine olan güveniyle birleştiğinde, dünya çapındaki çevrimiçi hizmetler ve altyapı için önemli bir tehdit oluşturuyor.
Mirai ailesinin bir çeşidi olan GorillaBot truva atı, birden fazla mimariyi destekliyor, kendisini tanımlamak için bir imza mesajı kullanıyor ve komutları almak için beş yerleşik C&C sunucusundan birine rastgele bağlanıyor.
Önceki modelden farklı olarak UDP, TCP, GRE dahil olmak üzere daha geniş bir DDoS saldırı yöntemi yelpazesinin yanı sıra OpenVPN, Discord ve FiveM gibi belirli protokolleri hedef alan özel saldırılar sunar.
NSFOCUS tarafından yapılan analiz, GorillaBot’un, kritik veri dizilerini korumak için KekSec grubu tarafından tercih edilen şifreleme algoritmalarını kullandığını, yayılma komut dosyalarında ve kod imzalarında lol.sh’nin varlığının KekSec ile potansiyel bir bağlantıya işaret ettiğini ortaya koyuyor.
Bunun sonucunda GorillaBot’un ya KekSec ile bağlantılı olduğu ya da gerçek kökenini gizlemek için KekSec’in yöntemlerini bilinçli olarak kullandığı yönünde şüpheler ortaya çıkıyor.
Hadoop YARN RPC’deki bir güvenlik açığından yararlanmak için “yarn_init” işlevinden yararlanarak tipik Mirai botnet’lerinin ötesinde kalıcılık sergiliyor ve potansiyel olarak yüksek ayrıcalıklar elde ediyor.
GorillaBot, sürekli çalışmasını sağlamak için otomatik başlatma için bir hizmet dosyası oluşturur ve sistem önyüklemesi, kullanıcı girişi sırasında veya özel komut dosyaları aracılığıyla çeşitli konumlardan kötü amaçlı bir komut dosyası (“lol.sh”) indirip çalıştırmayı dener.
Botun öncelikle “/proc” dosya sisteminin varlığını kontrol ederek bal küplerini tanımladığını ve bunlardan kaçındığını unutmamak önemlidir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri