Siber güvenlik araştırmacıları, yeni bir botnet kötü amaçlı yazılımına dikkat çekiyor Httpbot Bu, öncelikle oyun endüstrisinin yanı sıra Çin’deki teknoloji şirketlerini ve eğitim kurumlarını seçmek için kullanılmıştır.
NSFocus, bu hafta yayınlanan bir raporda, “Son birkaç ay içinde, agresif bir şekilde genişledi, enfekte olmuş cihazları dış saldırılar başlatmak için sürekli olarak kullandı.” Dedi. “Çok simüle edilmiş HTTP sel saldırıları ve dinamik özellikler gizleme teknikleri kullanarak geleneksel kural tabanlı tespit mekanizmalarını sınırlar.”
İlk olarak Ağustos 2024’te Vahşi’de görülen HTTPBOT, adını dağıtılmış hizmet reddi saldırıları başlatmak için HTTP protokollerinin kullanımından alır. Golang’da yazılmış, Windows sistemlerini hedeflemesi göz önüne alındığında bir anomali.
Windows tabanlı Botnet Trojan, oyun girişi ve ödeme sistemleri gibi yüksek değerli iş arayüzlerini hedefleyen tam olarak hedeflenen saldırılarda kullanımı nedeniyle dikkat çekicidir.
Pekin-caddeli şirket, “‘Selam benzeri’ hassasiyete olan bu saldırı, gerçek zamanlı etkileşime dayanan endüstriler için sistemik bir tehdit oluşturuyor.” Dedi. “HTTPBOT, ‘gelişigüzel trafik baskılanmasından’ ‘yüksek hassasiyetli iş boğulmasına’ geçerek DDOS saldırılarında bir paradigma kaymasını işaret ediyor.”
HTTPBOT’un Nisan 2025’in başından bu yana, oyun endüstrisine, teknoloji şirketlerine, eğitim kurumlarına ve Çin’deki turizm portallarına vurmak için tasarlanmış saldırılarla en az 200 saldırı talimatı yayınladığı tahmin ediliyor.
Kurulduktan ve çalıştırıldıktan sonra, kötü amaçlı yazılım, saldırıların gizliliğini artırmak amacıyla hem kullanıcılar hem de güvenlik araçları tarafından süreç izlemeyi azaltmak için grafik kullanıcı arayüzünü (GUI) gizler. Ayrıca, sistem başlangıçta otomatik olarak çalıştırıldığından emin olmak için yetkisiz Windows kayıt defteri manipülasyonuna başvurur.
BOTNET kötü amaçlı yazılım, yüksek miktarda HTTP isteği göndererek HTTP sel saldırılarını belirli hedeflere karşı yürütmek için daha fazla talimat beklemek için bir komut ve kontrol (C2) sunucusu ile iletişim kurmaya devam eder. Çeşitli saldırı modüllerini destekler –
- Sunucu kaynaklarını tüketirken meşru trafiği taklit etmek için gizli google chrome örneklerinin kullanılmasını içeren Browserattack
- Meşru oturumları doğru bir şekilde simüle etmek için çerez tabanlı bir yaklaşımdan yararlanan httpautoattack
- HTTP/2 protokolünü kullanan ve büyük yanıtları döndürmeye zorlayarak sunucudaki CPU yükleyicisini artırmayı amaçlayan bir yaklaşımı tercih eden HTTPFPDlattack
- WebSocket bağlantıları kurmak için “ws: //” ve “wss: //” protokollerini kullanan WebSocketattack
- Saldırı yürütmeye HTTP Post kullanımını zorlayan Posthtack Posta
- Browserattack saldırı yöntemine dayalı bir çerez işleme akışı ekleyen CookieatTack
NSFocus, “DDOS Botnet aileleri Linux ve IoT platformlarında toplanma eğilimindedir.” Dedi. “Ancak, HTTPBot Botnet ailesi özellikle Windows platformunu hedefledi.”
“Protokol katmanlarını derinden simüle ederek ve meşru tarayıcı davranışını taklit ederek, httpbot, protokol bütünlüğüne dayanan savunmaları atlar. Aynı zamanda trafik hacmine güvenmek yerine randomize URL yolları ve çerez ikmal mekanizmaları aracılığıyla sunucu oturumu kaynaklarını sürekli olarak işgal eder.”