Η επίθεση DDoS στοχεύει στη διακοπή της κανονικής λειτουργίας ενός διακομιστή, μιας υπηρεσίας ή ενός δικτύου, πλημμυρίζοντας τον με υπερβολική διαδικτυακή κίνηση.
Αυτή η επίθεση πραγματοποιείται μέσω ενός δικτύου παραβιασμένων συσκευών, γνωστό ως botnet, το οποίο στέλνει αμέτρητα αιτήματα στον στόχο, περιορίζοντας ουσιαστικά το εύρος ζώνης και τους πόρους του.
Πρόσφατα, οι αναλυτές της NSFocus εντόπισαν ένα botnet που διακρίνεται ως κορυφαίο για επιθέσεις DDoS, με περισσότερες από 300.000 εντολές, και ονομάστηκε “GorillaBot“.
Διαβάστε περισσότερα: Ψεύτικα αιτήματα CAPTCHA περιέχουν malware
Starlink Δορυφορικό Ίντερνετ : Πάνω από 4 εκατ. χρήστες!
Το GorillaBot αναδείχθηκε «βασιλιάς» των DDoS επιθέσεων
Τον Σεπτέμβριο του 2024, το Gorilla Botnet, μια παραλλαγή του κακόβουλου λογισμικού Mirai, ξεκίνησε μια πρωτοφανή καμπάνια κυβερνοεπιθέσεων. Σε διάστημα 24 ημερών, πραγματοποίησε περισσότερες από 300.000 εντολές επίθεσης DDoS που στόχευαν 113 χώρες, με τις παρακάτω να επηρεάζονται περισσότερο:
- Κίνα (20%)
- Ηνωμένες Πολιτείες (19%)
- Καναδάς (16%)
- Γερμανία (6%)
Αυτό το botnet υποστηρίζει τις περισσότερες κύριες αρχιτεκτονικές CPU, όπως ARM, MIPS, x86_64 και x86. Εκτός από αυτό, χρησιμοποίησε διάφορες μεθόδους επίθεσης, όπως “UDP Flood (41%)”, “ACK BYPASS Flood (24%)” και “VSE Flood (12%)”.
Το Gorilla Botnet στοχεύει σε διάφορους τομείς, όπως τα πανεπιστήμια, οι κυβερνητικές ιστοσελίδες, οι τηλεπικοινωνίες, οι τράπεζες και οι πλατφόρμες παιχνιδιών. Εφάρμοσε αλγόριθμους κρυπτογράφησης που σχετίζονται με την ομάδα KekSec για να αποκρύψει κρίσιμες πληροφορίες και χρησιμοποίησε πολλές τεχνικές για τη διατήρηση μακροχρόνιου ελέγχου στις συσκευές IoT και τα κέντρα cloud computing.
Δείτε επίσης: Αναδυόμενες απειλές στην ασφάλεια του cloud
Η υποδομή του botnet περιλαμβάνει πέντε ενσωματωμένους διακομιστές C&C, που επιλέγονται τυχαία για τις συνδέσεις. Το οπλοστάσιό του περιλαμβάνει 19 διαφορετικούς φορείς επίθεσης, υποδεικνύοντας μια περίπλοκη στρατηγική, σύμφωνα με την NSFocus.
Αυτή η αναδυόμενη απειλή διαθέτει προηγμένες δυνατότητες αντιανίχνευσης και αναδεικνύει το «εξελισσόμενο τοπίο» των κυβερνοαπειλών. Εκμεταλλεύεται την ευπάθεια μη εξουσιοδοτημένης πρόσβασης μέσω της λειτουργίας “Hadoop Yarn RPC”, συγκεκριμένα μέσω της συνάρτησης “yarn_init”, προσφέροντας έτσι δυνητικά αυξημένα προνόμια στους hackers.
Το GorillaBot δημιουργεί πολλαπλά αρχεία συστήματος και σενάρια για διαρκή παρουσία. Ακολουθούν ορισμένα από αυτά:
- Ένα αρχείο “custom.service” στο /etc/systemd/system/ για αυτόματη εκκίνηση.
- Τροποποιήσεις στα /etc/inittab και /etc/profile.
- Το αρχείο /boot/bootcmd εκτελείται κατά την εκκίνηση του συστήματος ή κατά την είσοδο του χρήστη.
- Ένα script “mybinary” στο /etc/init.d/ με έναν σύνδεσμο στο /etc/rc.d/rc.local ή /etc/rc.conf.
Δείτε ακόμα: Οι ΗΠΑ λένε ότι κινεζικό Botnet παραβιάζει 260.000 συσκευές SOHO
Αυτοί οι μηχανισμοί διασφαλίζουν την αυτόματη λήψη και εκτέλεση ενός κακόβουλου σεναρίου ονόματι «lol.sh» από το http[:]//pen.gorillafirewall.su/. Επιπλέον, το κακόβουλο λογισμικό περιλαμβάνει «μέτρα κατά του honeypot», ελέγχοντας την ύπαρξη του συστήματος αρχείων «/proc» για να εντοπίσει πιθανές παγίδες ασφαλείας.
Η χρήση συγκεκριμένων μεθόδων κρυπτογράφησης από το GorillaBot, το όνομα του σεναρίου «lol.sh», καθώς και ορισμένες υπογραφές κώδικα, υποδηλώνουν μια πιθανή σύνδεση με το «KekSec».
Πηγή: cybersecuritynews
