محققین امنیتی یک بات نت جدید به نام Gorilla کشف کرده اند که از سورس کد های نشت شده بات نت Mirai الهام گرفته شده است.
موسسه امنیتی NSFOCUS که فعالیت های ماه اخیر این بات نت را بررسی کرده است می گوید: این بات نت بیش از 300 هزار فرمان حمله با تراکم بالا بین 4 تا 27 سپتامبر صادر کرده است. به طور متوسط روزانه حداقل 20 هزار فرمان طراحی شده برای انجام حملات DDoS، از این بات نت صادر شده است.
بات نت مذکور بیش از 100 کشور را هدف قرار داده به دانشگاهها، وبسایت های دولتی، مخابرات، بانک ها و … حمله کرده است. کشورهایی نظیر چین، آمریکا، کانادا و آلمان بیشترین هدف حملات بوده اند.
به گفته محققین این بات نت به طور عمده از UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood و ACK flood برای هدایت حملات DDoS بهره میگیرد. همچنین با استفاده از پروتکل بدون اتصال UDP امکان جعل IPهای مبدا دلخواه برای ایجاد حجم زیادی از ترافیک را خواهد داشت.
در کنار بهره مندی از معماری چندگانه CPU، این بات نت قابلیت اتصال به یکی از 5 سرور C2 را برای دستورات DDoS در صف انتظار را خواهد داشت.
در یک چرخش جالب، این بدافزار توابعی نیز برای سوءاستفاده از نقض امنیتی در Apache Hadoop YARN RPC و امکان اجرای کد از راه دور تعبیه کرده است. شایان ذکر است که طبق گفته های شرکتهای امنیتی مختلف این نقض تا سال 2021 به صورت گسترده مورد استفاده قرار میگرفته است.
با ایجاد یک فایل سرویس به نام Custom.service در دایرکتوری /etc/systemd/system/ و تنظیم آن روی اجرای خودکار هر بار هنگام راه اندازی سیستم، ماندگاری روی هاست امکان پذیر است.
این سرویس مسئول دانلود و اجرای یک shell اسکریپت lol.sh از یک سرور راه دور نیز است. همچنین دستورات مشابهی به فایل های /etc/inittab,” “/etc/profile,” و “/boot/bootcmd نیز اضافه می کند تا در زمان شروع و ورود کاربر به سیستم shell script دانلود و اجرا شود.
خانواده این بات نت تازه روش های مختلف حمله DDoS را اجرا کرده و از الگوریتم های رمزنگاری که معمولا توسط گروه Keksec برای مخفی سازی اطلاعات کلیدی استفاده می کردند، استفاده نموده، همچنین از تکنیک های متعدد برای حفظ کنترل طولانی مدت بر دستگاههای مختلف و هاست های ابری و از روش های سطح بالایی برای عدم شناسایی توسط راهکارهای امنیتی استفاده می کنند.
منبع:
thehackernews.com
