Los analistas de NSFocus han identificado recientemente una botnet que surgió como la reina de los ataques DDoS (de denegación de servicio distribuida). Los investigadores la han denominado 'GorillaBot'.
Durante septiembre esta botnet, una versión modificada del malware Mirai, lanzó una campaña de ciberataques que apuntó nada menos que a 113 países, involucrando a más de 200.000 objetivos
En un período de 24 días en septiembre llegó a emitir más de 300.000 comandos de ataque.
Los territorios más afectados por dicha amenaza han sido China (20%), EE.UU. (16%), Canadá (16%) y Alemania (6%).
Sectores objetivo
Gorilla Botnet ha apuntado contra determinados sectores, como universidades, sitios webs gubernamentales, teleco, bancos y plataformas de juego. También se ha dirigido contra infraestructuras críticas durante el último mes, involucrando a más de 40 organizaciones.
Además, esta red de bots sería compatible con la mayoría de las
principales arquitecturas de CPU, como ARM, MIPS, x86_64 y x86, según
indica Cybersecuritynews.
| Vector | Method |
| 0 | attack_udp_generic |
| 1 | attack_udp_vse |
| 3 | attack_tcp_syn |
| 4 | attack_tcp_ack |
| 5 | attack_tcp_stomp |
| 6 | attack_gre_ip |
| 7 | attack_gre_eth |
| 9 | attack_udp_plain |
| 10 | attack_tcp_bypass |
| 11 | attack_udp_bypass |
| 12 | attack_std |
| 13 | attack_udp_openvpn |
| 14 | attack_udp_rape |
| 15 | attack_wra |
| 16 | attack_tcp_ovh |
| 17 | attack_tcp_socket |
| 18 | attack_udp_discord |
| 19 | attack_udp_fivem |
NSFocus revela que el 'arsenal' de esta botnet comprendía 19 vectores de ataque distintos.
La amenaza emergente mostró capacidades avanzadas de contradetección y también destacó el "panorama cambiante" de las amenazas cibernéticas.
Una curiosidad de esta amenaza es que su paquete online y módulo de
análisis de comandos reutiliza el código fuente de Mirai, pero deja un
mensaje de firma que señala "Gorilla Botnet está en el dispositivo. No eres un gato, vete".
La infraestructura de la botnet tiene cinco servidores C&C integrados, que se seleccionan aleatoriamente para las conexiones. Su arsenal incluye “19 vectores de ataque diferentes”, lo que, según NSFocus, representa un enfoque sofisticado.
Esta nueva amenaza demostró capacidades avanzadas de contradetección y destacó el “panorama en evolución” de las amenazas cibernéticas.
Una vulnerabilidad de acceso no autorizado en Hadoop Yarn RPC podría explotarse para otorgarle a un atacante privilegios elevados a través de una función llamada Yarn_init.
GorillaBot crea múltiples archivos de sistema y scripts para lograr persistencia. Los discutiremos a continuación.
“El archivo 'custom.service' en /etc/systemd/system/ para el inicio automático.” “Cambia a /etc/inittab, /etc/profile.” “/boot/ para ejecutarse al iniciar el sistema o iniciar sesión como usuario”. “. “El script 'mybinary' en /etc/init.d/ y un enlace suave en /etc/rc.d/rc.local o /etc/rc.conf. ”
Estos mecanismos descargan y ejecutan automáticamente un script malicioso llamado 'lol.sh' desde http(:)//pen.gorillafirewall.su/.
El malware también incluye una función “anti-honeypot” que comprueba la presencia del “sistema de archivos/proc” para detectar posibles trampas de seguridad.
El uso de GorillaBot de un método de cifrado específico, el nombre del script “lol.sh” y una firma de código específica sugieren una posible conexión con “KekSec”.
Fuentes:
https://nsfocusglobal.com/over-300000-gorillabot-the-new-king-of-ddos-attacks/
No hay comentarios:
Publicar un comentario