Eski Mirai bilgisayar korsanları, operatörlerinden selefine göre çok daha az kaynak gerektirerek çok daha büyük hasara neden olma potansiyeline sahip HinataBot adlı yeni bir botnet geliştirdiler.
Mirai, dünyanın en kötü şöhretli botnet’lerinden biridir. 2010’ların ortalarından beri dolaşımda olan bu sistem, dağıtılmış hizmet reddini (DDoS) zorlamak için büyük miktarda trafiğe sahip hedefleri vurmak için yönlendiriciler ve kameralar gibi Nesnelerin İnterneti (IoT) cihazlarını kullanıyor. En kötü şöhretli saldırılarından bazıları Fransız teknoloji şirketi OVH, Liberya hükümeti ve Twitter, Reddit, GitHub, CNN ve daha pek çok web sitesine dokunan DNS sağlayıcısı Dyn’e yönelikti.
Şimdi, 16 Mart’ta yayınlanan bir raporda, Akamai’den araştırmacılar HinataBot’un yalnızca Ocak ortasından beri geliştirilmekte olduğunu kaydetti. Buna rağmen, ilk testlere göre, 3 Tbit/sn’den fazla trafik akışına ulaşarak, selefinden kat kat daha güçlü paketler.
HinataBot Ne Kadar Güçlü?
En parlak döneminde, Mirai botnet kurbanlarını saniyede yüzlerce gigabayt trafikle doldurmayı başardı – KrebsOnSecurity web sitesi için 623 Gbit/s’ye ve OVH’ye karşı yaklaşık 1 Tbit/s’ye kadar. OVH’nin o sırada belirttiği gibi, bu büyük veri dalgası, tümü sistemlerine aynı anda istek gönderen yaklaşık 145.000 bağlı bilgisayardan oluşan bir ağ tarafından etkinleştirildi.
HinataBot’un göreceli gücünü ölçmek için Akamai araştırmacıları 10 saniyelik test saldırıları gerçekleştirdi. “Bot ağı yalnızca 1.000 düğüm içeriyorsa,” diye buldular, “ortaya çıkan UDP selinin ağırlığı saniyede yaklaşık 336 Gb/sn olur.” Diğer bir deyişle, kaynakların %1’inden daha azına sahip olan HinataBot, Mirai’nin en şiddetli saldırılarına yaklaşan trafik üretebiliyordu.
HinataBot’un 10.000 düğümle – kabaca Mirai boyutunun %6,9’u kadar – neler yapabileceğini düşündüklerinde, ortaya çıkan trafik, herhangi bir Mirai saldırısından çok daha güçlü olan 3,3 Tbit/sn’den daha fazla çıktı.
Akamai araştırmacıları raporda, “Bu teorik yetenekler, katılan farklı sunucu türlerini, ilgili bant genişliklerini ve donanım kapasitelerini vs. açıkça hesaba katmıyor,” diye uyardı, “ancak resmi anladınız. HinataBot yazarları, botnet’leriyle herhangi bir gerçek ölçekte uğraşmak zorunda kalmadan önce yeni hobilere yöneliyor.”
Bilgisayar Korsanları Neden Golang’ı Seçiyor?
HinataBot’taki gelişmelerin çoğu, nasıl yazıldığına bağlıdır.
Raporun baş araştırmacılarından biri olan Allen West, “Kötü amaçlı yazılımların çoğu geleneksel olarak C++ ve C dillerinde yazılmıştır” diye açıklıyor. Örneğin Mirai, C dilinde yazılmıştır.
Ancak son yıllarda bilgisayar korsanları daha yaratıcı hale geldi. “Yapabildikleri her türlü yeni yaklaşımı benimsemeye çalışıyorlar ve bu yeni diller – verimlilikleri ve dizileri depolama şekli ile Go gibi – insanların uğraşmasını zorlaştırıyor.”
“Go” – “Golang”ın kısaltması – HinataBot’u destekleyen üst düzey programlama dilidir. C’ye benzer, ancak bazı yönlerden daha güçlüdür. Raporun başka bir yazarı olan Chad Seaman, Golang ile, bilgisayar korsanlarının “daha iyi hata işleme, bellek yönetimi, kolay iş parçacığı çalışan havuzları ve biraz daha istikrarlı bir platform elde ettiğini ve bu sayede sizin için hız ve performansın bir kısmını sağladığını” açıklıyor. C düzeyinde bir dille ve C veya C++ ikili dosyalarıyla, yönetmeleri gerekmeyen pek çok şeyle ilişkilendirilebilir.”
“Sadece teknik zorlukta çıtayı düşürüyor,” diyor, “aynı zamanda performans çıtasını örneğin diğer geleneksel dillerin bazılarına göre yükseltiyor.”
Tüm bu nedenlerden dolayı Go, kötü amaçlı yazılım yazarları için popüler bir seçim haline geldi. kmsdbot, GoTrim ve GoBruteForcer gibi bot ağları buna örnektir. Seaman, “Go daha performanslı, daha yaygın ve daha yaygın hale geliyor” diyor ve ortaya çıkan kötü amaçlı yazılım onun için çok daha güçlü.
İşletmeler HinataBot Hakkında Ne Kadar Endişelenmeli?
HinataBot ne kadar korkutucu olsa da, parlak bir tarafı da olabilir.
HinataBot, Mirai’den daha verimli değil, aynı zamanda olmalıdır daha verimli çünkü daha azıyla çalışıyor.
Seaman, “Yayıldığı güvenlik açıkları yeni veya yeni değil” diyor. HinataBot, güvenlik topluluğu tarafından zaten bilinen ve diğer botnet’ler tarafından kullanılan zayıflıklardan ve CVE’lerden yararlanır. Bu, Mirai’nin yaklaşık 2016-’17’de, IoT güvenlik açıklarının yeni olduğu ve cihazlar için güvenliğin öncelikli olmadığı bir ortamda çalıştığından oldukça farklı bir ortam.
Seaman, “Nasıl dağıttıkları ve enfeksiyon teknikleri konusunda yaratıcı olmadıkça, başka bir Mirai vakası göreceğimizi sanmıyorum. Başka bir 70.000 veya 100.000 görmeyeceğiz.” düğümü, mevcut taktikleri, teknikleri ve prosedürleri altında Hinata yazarlarından Mirai benzeri bir tehdit.”
Daha az iyimser bir gözlemci, şu anda sadece birkaç aylık olduğu için HinataBot’un sınırlı zayıflıklarını iyileştirmesi için bolca zamanı olduğunu fark edebilir. “Bu sadece bir giriş aşaması olabilir, değil mi?” Denizci işaret ediyor. “Şimdiye kadar düşük asılı meyveleri kapıyorlar, dışarı çıkıp henüz gerçekten yeni bir şey yapmaya gerek kalmadan.”
Henüz kimse bu botnet’in ne kadar büyüyeceğini veya zaman içinde ne şekilde değişeceğini söyleyemez. Şimdilik, yalnızca bildiğimiz şeye hazırlanabiliriz – bu, bilinen kanallar üzerinde çalışan ve bilinen güvenlik açıklarından yararlanan çok güçlü bir araçtır.
Raporun üçüncü yazarı Larry Cashdollar, “Trafikte zaten uyguladığımız güvenlik kontrollerini atlatacak hiçbir şey yapmıyorlar” diyor. “Açıklardan yararlanma eskidir. Sıfır gün yoktur. Dolayısıyla, bu tür tehditlere karşı korunmak için temel güvenlik ilkeleri” – güçlü parola politikaları, görev bilinciyle yamalama vb. – “aynıdır. yine de yeterli.”