HTTPBOT adlı yeni bir Botnet ailesi, Windows ekosistemine kritik bir tehdit olarak ortaya çıktı ve yüksek değerli hedefleri bozmak için sofistike HTTP tabanlı dağıtılmış hizmet reddi (DDOS) saldırılarından yararlandı.
İlk olarak Ağustos 2024’te gözlemlenen HTTPBOT’un faaliyeti Nisan 2025’te, öncelikle oyun endüstrisini, teknoloji firmalarını ve eğitim kurumlarını hedefleyen saldırılarla arttı.
Golang’da geliştirilen bu kötü amaçlı yazılım, tespit etmek için randomize HTTP başlıkları, dinamik URL yolları ve çerez manipülasyonu kullanarak geleneksel güvenlik önlemlerini atlamak için modüler bir tasarım kullanır.
.png
)
Ödeme ağ geçitleri ve giriş sistemleri, kaba kuvvet trafik sellerinden stratejik kaynak tükenmesine geçiş gibi iş-kritik arayüzleri hedeflemede “neşter benzeri” hassasiyeti.
NSFOCUS Fuing Lab araştırmacılarına göre, HTTPBOT, kampanyaları programlı olarak düzenlemek ve sonlandırmak için benzersiz “saldırı kimlikleri” kullanarak çok aşamalı bir saldırı stratejisi ile çalışır.
Ezici bant genişliğine odaklanan geleneksel botnetlerden farklı olarak, HTTPBOT, uygulama tabaka güvenlik açıklarından yararlanarak işlem sistemlerini sakatlamayı amaçlamaktadır.
Örneğin, HTTP ve HTTPS protokolleri arasında dinamik olarak geçiş yapar, istek oranlarını sunucu yanıtlarına göre ayarlar ve hatta başsız Chrome örneklerini kullanarak tarayıcı tabanlı saldırıları başlatır. Bu taktikler, sunucu kaynaklarını tüketirken meşru trafiği taklit etmesine izin verir.
NSFOCUS analistleri, HTTPBOT operatörlerinin gerçek zamanlı etkileşime bağlı sektörlere odaklanan “düşük trafikli, yüksek etkili” bir yaklaşım benimsediğini belirtti.
80’den fazla bağımsız hedef, M.Doyo.CN ve 28JH.com gibi oyun platformları ve Tongji Education gibi eğitim portalları da dahil olmak üzere 15 günlük bir dönemde etkilenmiştir.
Botnet’in kural tabanlı savunmaları atlama yeteneği, alarmları artırdı ve davranışsal analiz ve elastik altyapı ölçeklemesini birleştiren yükseltilmiş azaltma stratejileri çağrısı yaptı.
Enfeksiyon mekanizması ve kalıcılık taktikleri
HTTPBOT, gizli yürütme ve kayıt defteri manipülasyonunun bir kombinasyonu ile enfekte olmuş Windows sistemlerinde uzun vadeli kalıcılık sağlar.
.webp)
Kimlik avı veya sömürülen güvenlik açıkları yoluyla ilk uzlaştıktan sonra-kötü amaçlı yazılım, süreç izlemesinden kaçınmak için grafik arayüzünü gizler.
Kod analizi, pencerenin görünürlüğünü bastırmak için özel bir işlevi ortaya çıkarır:-
main_getConsoleWindow();
if (v0) {
WindowThreadProcessId = main_getWindowThreadProcessId(v0);
golang_org_x_sys_windows_GetCurrentProcessId();
if (v1 == WindowThreadProcessId)
main_showWindow(v3, 0); // Hides the window
}Yeniden başlatmalardan kurtulmak için HTTPBOT, yürütülebilir yolunu yazar. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Kayıt Defteri Anahtarı.
.webp)
Bu Autorun mekanizması, ilk enfeksiyon vektörü çıkarılmış olsa bile, başlangıçta yürütmeyi sağlar. Kötü amaçlı yazılım Golang’ı kullanır syscall Windows Kayıt Defteri ile etkileşim kurmak için paket:
Key = main_regCreateKeyEx(-2147483647, off_E38DB0, dword_E38DB4, 0, 0, 983103);
v14 = path_filepath_Base(v13, v11);
v1 = syscall_StringToUTF16Ptr(v13, v11);NSFOCUS araştırmacıları, bu kalıcılık yönteminin çevresel kontrollerle eşleştirildiğini vurguladı. Örneğin, bazı saldırı modülleri (örneğin, BrowserAttack) sadece Windows 8+ sistemlerinde etkinleştirin, bu da algılamayı en aza indirirken etkiyi en üst düzeye çıkarmak için özel bir yaklaşımı gösterir.
Kötü amaçlı yazılım ayrıca, güvenlik duvarı uyarılarını tetiklemekten kaçınma girişimleri arasında 100 ms uyuyarak başarısız bağlantılar için yeniden deneme mekanizmalarını yerleştirir.
HTTPBOT’a karşı savunmak, imza tabanlı algılamanın ötesine geçmeyi gerektirir. NSFOCUS, aşağıdakiler gibi uyarlanabilir güvenlik önlemlerinin uygulanmasını önerir:-
- Anormal oturum kalıplarını tanımlamak için davranışsal analiz.
- Botları meşru kullanıcılardan ayırt etmek için dinamik çerez enjeksiyonu.
- Randomize istek aralıklarına karşı koymak için AI güdümlü eşiklerle hız sınırlama.
Botnet’in evrimi, kritik sektörlerde proaktif tehdit avı ve altyapı esnekliği ihtiyacını vurgulamaktadır.
HTTPBOT taktiklerini geliştirmeye devam ettikçe, kuruluşlar hem protokol katmanı alt fuarı hem de uygulama katmanı aldatmacasına hitap eden katmanlı savunmalara öncelik vermelidir.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers