“Gorillabot” adlı yeni bir botnet, sadece üç hafta içinde 100’den fazla ülkede 300.000’den fazla saldırı komutunu düzenledi.
Kötü şöhretli Mirai Botnet çerçevesi üzerine inşa edilen Gorillabot, sofistike bir kötü amaçlı yazılım evrimini temsil ediyor. Telekomünikasyondan finans ve eğitime kadar değişen endüstrileri hedeflemek için gelişmiş şifreleme ve kaçırma tekniklerinden yararlanır.
NSFOCUS Global Tehdit Av Ekibi tarafından keşfedilen Gorillabot’un faaliyeti, 4 Eylül ve 27 Eylül arasında izlendi ve bu sırada büyük saldırı dalgasını gerçekleştirdi.
Kötü amaçlı yazılım, küresel olarak savunmasız cihazları ele geçirmek için tasarlanmıştır, bunları dağıtılmış hizmet reddi (DDOS) saldırıları ve diğer kötü niyetli faaliyetler için araçlara dönüştürmektedir.
Çeşitli sektörlere nüfuz etme kapasitesi, siber güvenlik profesyonelleri arasındaki endişeleri tetiklemiştir ve karşı önlemler için acil taleplere yol açmıştır. Herhangi bir.run interaktif kum havuzu Derinlemesine kötü amaçlı yazılım analizi için birden fazla fayda sağlar.
Selefi Mirai’den farklı olarak Gorillabot, özel şifreleme algoritmaları ve anti-kötü niyetli önlemler içerir, bu da tespit edilmesini ve analiz edilmesini önemli ölçüde zorlaştırır.
Mohamed Talaat’ın analizi. RUN, bu geliştirmelerin komut ve kontrol (C2) sunucularıyla sağlam iletişimi sürdürürken geleneksel güvenlik önlemlerinden kaçmasına izin verdiğini açıklar.
Analizi herhangi birinde görüntüle.run’lar İnteraktif kum havuzu
Gorillabot nasıl çalışır
Gorillabot’un operasyonu, Nesnelerin İnterneti (IoT) sistemlerindeki güvenlik açıkları veya diğer kötü güvenli uç noktalar yoluyla cihaz enfeksiyonu ile başlar. Kötü amaçlı yazılım tehlikeye girdikten sonra, ham TCP soketlerini kullanarak C2 sunucusu ile iletişim kurar.
Bu iletişim, botnet ve denetleyicileri arasında değiştirilen verileri şifreleyen ve şifresini çözen özel bir XTEA benzeri şifre kullanılarak güvence altına alınır.
Kötü amaçlı yazılım ayrıca benzersiz bir SHA-256 tabanlı jetonun üretilmesini içeren gelişmiş bir kimlik doğrulama mekanizması kullanır. Bu, yalnızca meşru bot örneklerinin C2 altyapısı ile etkileşime girmesini ve yetkisiz erişimi etkili bir şekilde önleyebilmesini sağlar.
Doğrulandıktan sonra Gorillabot, yürütme için şifreli ve ayrıştırılmış kodlanmış saldırı komutlarını alır. Bu komutlar, BOTNET’i belirli sistemlere veya ağlara karşı hedeflenen saldırılar başlatmaya yönlendirir.
Daha fazla bilgi edin Kaçma Hakkında Kötü amaçlı yazılımların, Mirai’nin işlevselliğini yansıtan ancak ek sofistike ile hem basit hem de karmaşık saldırı talimatlarını işleme yeteneği.
Gorillabot’un içerik oluşturucuları tespit etmekten kaçınmak için birden fazla kaçış tekniği katmanı içeriyorlardı. Birincil işlemlerini başlatmadan önce, kötü amaçlı yazılım, araştırmacılar tarafından genellikle analiz için kullanılan sanallaştırılmış veya konteynerize bir ortamda çalışıp çalışmadığını belirlemek için kontroller yapar. Örneğin:
- Sistem düzeyinde eserleri inceler
/procMeşru bir makinede çalışıp çalışmadığını belirlemek için dosya sistemi. - “Kubepods” gibi Kubernetes ile ilgili göstergeleri arar.
/proc/1/cgroupdosyalar. Bu tür belirteçler bulunursa, kötü amaçlı yazılım hemen kendini sonlandırır.
Ayrıca, Gorillabot, TracerPid sahaya binmek /proc/self/status Hata ayıklama araçlarının izleyip izlemediğini tespit etmek için. Kötü amaçlı yazılım, herhangi bir şüpheli faaliyet algılanırsa yükünü yürütmeden çıkar.
Yeni şifreleme yöntemleri ve kaçırma taktikleri sunarak saldırganlar, daha eski kötü amaçlı yazılımların siber suç için zorlu araçlara nasıl yeniden canlandırılabileceğini gösterdiler.
Run, Gorillabot gibi tehditlerle mücadele etmek için proaktif savunma stratejilerinin önemini vurgular. Kuruluşlar şunları istemektedir:
- IoT cihazlarında ve diğer ağa bağlı sistemlerde düzenli olarak güvenlik açıkları.
- Şifreli C2 iletişimini tanımlayabilen gelişmiş izinsiz giriş algılama sistemlerini dağıtın.
- Gerçek zamanlı kötü amaçlı yazılımlar davranış analizi için herhangi bir.Run gibi kum havuzu araçlarını kullanın.
Gorillabot küresel rampasına devam ederken, botnetlerle mücadele etmek için koordineli uluslararası çabalara duyulan ihtiyaç hiç bu kadar kritik olmamıştır. 100’den fazla ülkede zaten 300.000’den fazla saldırı başlatıldı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free