Siber güvenlik araştırmacıları, sızdırılan Mirai botnet kaynak kodunun bir çeşidi olan Gorilla (aka GorillaBot) adı verilen yeni bir botnet kötü amaçlı yazılım ailesi keşfettiler.
Etkinliği geçen ay tespit eden siber güvenlik firması NSFOCUS, botnet’in 4 Eylül ile 27 Eylül 2024 arasında “şok edici bir saldırı yoğunluğuyla 300.000’den fazla saldırı komutu yayınladığını” söyledi. Dağıtılmış hizmet reddi uygulamak için tasarlanmış en az 20.000 komut var Botnet’ten ortalama her gün (DDoS) saldırıları yapılıyor.
Botnet’in 100’den fazla ülkeyi hedef alarak üniversitelere, hükümet web sitelerine, telekomünikasyona, bankalara, oyun ve kumar sektörlerine saldırdığı söyleniyor. Çin, ABD, Kanada ve Almanya en çok saldırıya uğrayan ülkeler olarak ortaya çıktı.
Pekin merkezli şirket, Gorilla’nın DDoS saldırılarını gerçekleştirmek için öncelikle UDP seli, ACK BYPASS seli, Valve Source Engine (VSE) seli, SYN seli ve ACK seli kullandığını belirterek, UDP protokolünün bağlantısız yapısının keyfi kaynak IP sahtekarlığına izin verdiğini ekledi. büyük miktarda trafik oluşturmak için.
Botnet, ARM, MIPS, x86_64 ve x86 gibi birden fazla CPU mimarisini desteklemenin yanı sıra, DDoS komutlarını beklemek için önceden tanımlanmış beş komut ve kontrol (C2) sunucusundan birine bağlanma yetenekleriyle birlikte gelir.
İlginç bir şekilde, kötü amaçlı yazılım, uzaktan kod yürütmek için Apache Hadoop YARN RPC’deki bir güvenlik açığından yararlanacak işlevler de yerleştiriyor. Alibaba Cloud ve Trend Micro’ya göre bu eksikliğin 2021 yılına kadar istismar edildiğini belirtmekte fayda var.
Ana bilgisayardaki kalıcılık, “/etc/systemd/system/” dizininde özel.service adlı bir hizmet dosyası oluşturularak ve bu dosyanın sistem başlangıcında her seferinde otomatik olarak çalışacak şekilde yapılandırılmasıyla sağlanır.
Hizmet, uzak bir sunucudan (“pen.gorillafirewall”) bir kabuk betiğinin (“lol.sh”) indirilmesinden ve yürütülmesinden sorumludur.[.]su”). Benzer komutlar, sistem başlatıldığında veya kullanıcı oturum açtığında kabuk betiğini indirmek ve çalıştırmak için “/etc/inittab”, “/etc/profile” ve “/boot/bootcmd” dosyalarına da eklenir.
“Çeşitli DDoS saldırı yöntemlerini tanıttı ve Keksec grubu tarafından temel bilgileri gizlemek için yaygın olarak kullanılan şifreleme algoritmalarını kullandı, aynı zamanda IoT cihazları ve bulut ana bilgisayarları üzerinde uzun vadeli kontrolü sürdürmek için birden fazla teknik kullanarak, yüksek düzeyde karşı tespit farkındalığını ortaya koydu. yeni ortaya çıkan botnet ailesi” dedi NSFOCUS.