Akamai’deki güvenlik analistleri yakın zamanda HinataBot adında Golang tabanlı yeni bir botnet belirlediler. Bunun dışında HinataBot’un, DDoS saldırılarını başlatmak için yetkisiz erişim elde etmek için yönlendiricilerdeki ve sunuculardaki zaten bilinen güvenlik açıklarından yararlandığı gözlemlendi.
Yılın başında araştırmacılar, oldukça uzun bir süredir faaliyette olan bu yeni botnet’i ortaya çıkardı. HinataBot’un aşağıdaki yönlendiricileri ve sunucuları hedeflediği keşfedilmiş olsa da:-
- Realtek SDK cihazları
- Huawei HG532 yönlendiriciler
- Hadoop YARN sunucuları
Bilinen Kusurlardan Yararlanma
Popüler anime dizisinden bir karakter olan kötü amaçlı yazılım ikili dosyalarında, Naruto’ya kötü amaçlı yazılımın yazarı tarafından bir ad verilmiş gibi görünüyor.
Akamai’nin SIRT’i, bilinen eski güvenlik açıklarından yararlanan HTTP ve SSH bal küplerinde HinataBot’u buldu ve aşağıda bunlardan bahsetmiştik: –
- CVE-2014-8361
- CVE-2017-17215
Dağıtım
Ocak 2023’ün ortalarında, Mirai ikili dosyaları HinataBot’un operatörleri tarafından dağıtıldı ve ilk kez ortaya çıktı.
HinataBot Botnet, Mart 2023 gibi kısa bir süre önce çeşitli iyileştirmeler ve yeni özelliklerin eklenmesiyle aktif bir şekilde geliştirildi. Bu, Akamai’deki siber güvenlik araştırmacıları tarafından botnet’in birden fazla örneğini yakaladıkları aktif kampanyaların analizi sırasında doğrulandı.
Herhangi bir karmaşık taktik kullanmadan tehdit aktörleri için kolay bir giriş noktası oluşturan yama uygulanmamış güvenlik açıkları ve zayıf kimlik bilgileri nedeniyle birkaç saldırı gerçekleşti.
Aralık 2022’den beri HinataBot botnet aktiftir. 11 Ocak 2023 itibarıyla, ilk saldırı olarak genel bir Go tabanlı Mirai varyantının kullanılmasının ardından, saldırıları gerçekleştirmek için kendi özel kötü amaçlı yazılımlarını kullanmaya başladılar.
C2 şu anda kapalı olduğu için uzmanlar henüz gerçek hayatta bir saldırı gözlemlemediler. İzleyiciler henüz bağlanmadı. Ancak, şu anda bunu yapma süreci devam ediyor.
Araştırmacıların öncelikli hedefi gelecekte tekrar aktif hale gelip gelmediklerini yakından gözlemleyebilmektir.
Devasa DDoS Yeteneği
Analiz sırasında özellikle dikkate değer olan bir dizi işlev gün ışığına çıktı. Dikkatleri hemen üç farklı saldırı işlevi tarafından çekildi ve burada aşağıda bahsediliyor: –
- sym.main.startAttack
- sym.main.http_flood
- sym.main.udp_flood
Bilinen güvenlik açıkları için bulaşma betikleri ve RCE yükleri, kötü amaçlı yazılımları SSH uç noktalarına kaba kuvvet saldırıları yoluyla dağıtmak için kullanılır.
Bir cihaza virüs bulaştığında, kötü amaçlı yazılım sessizce çalışır ve komut ve kontrol sunucusu talimatlarının yürütülmesini bekler.
HinataBot’u iş başında gözlemlemek ve kötü amaçlı yazılımın saldırı yeteneklerini anlamak için Akamai’nin analistleri kendi C2’lerini tasarladılar ve simüle edilmiş enfeksiyonlarla etkileşime girdiler.
Aşağıda, HinataBot’un eski sürümleri tarafından desteklenen sellerden bahsetmiştik:-
HinataBot’un yeni sürümü söz konusu olduğunda, yalnızca HTTP ve UDP taşmaları desteklenir. Ancak botnet, yalnızca iki saldırı modunda bile çok güçlü DDoS saldırıları gerçekleştirme yeteneğine sahiptir.
Bir saldırıda 10.000 bot olabileceği göz önüne alındığında, bir UDP flood’u 3.3 Tbps’nin üzerine çıkarak onu güçlü bir saldırı haline getirebilir. HTTP saldırı komutu ile UDP saldırı komutu arasında fark vardır.
Her iki durumda da, bir çalışan havuzu için 512 çalışan oluşturulur ve önceden tanımlanmış tüm hedeflere veri paketleri göndermek için belirli bir süre için sabit bir süre atanır.
Bir HTTP paketinin boyutunda 484 ila 589 baytlık bir aralık vardır. HinataBot tarafından oluşturulan UDP paketlerinde çok sayıda boş bayt bulunur ve bu da hedefi önemli miktarda trafikle boğabilir.
İki yöntem, aynı sonuca ulaşmak için farklı yaklaşımlar kullanır; HTTP taşmaları web sitesinde yoğun trafik oluştururken, UDP taşmaları hedefe çöp gönderir.
HTTP saldırısı için toplam boyutu 3,4 MB olan 20.430 istek oluşturdu, Akamai botnet’i HTTP ve UDP için 10 saniyelik saldırılarda kıyasladı. UDP seli, yaklaşık 6.733 paket olmak üzere toplam 421 MB veri üretti.
HinataBot Botnet’te hala iyileştirme için yer var ve muhtemelen herhangi bir zamanda ek istismarlar uygulayacak ve hedefleme yeteneklerini genişletecek.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin