HinataBot ist eine neue Malware, die in GoLang geschrieben wurde

Ein kürzlich entdecktes Botnet namens HinataBot, das auf der Golang-Plattform basiert, nutzt bekannte Schwachstellen in Routern und Servern aus, um Distributed-Denial-of-Service-Angriffe (DDoS) zu starten.

Der Schöpfer der Malware scheint sie nach einer Figur aus der Naruto-Anime-Serie benannt zu haben. Das Botnet wird über verschiedene Methoden verteilt, darunter das Ausnutzen von Sicherheitslücken in Huawei HG532-Routern und Realtek SDK-Geräten sowie exponierte Hadoop-YARN-Server. Angreifer nutzen ungepatchte Schwachstellen und schwache Anmeldeinformationen, die bekannte und dokumentierte Einstiegspunkte sind, die keine komplexen Social-Engineering-Taktiken erfordern.

Die Angreifer hinter HinataBot sind mindestens seit Dezember 2022 aktiv und wechselten im Januar 2023 von einer generischen Mirai-Variante zu ihrer benutzerdefinierten Malware. Jüngste Artefakte, die in den HTTP- und SSH-Honeypots von Akamai entdeckt wurden, weisen darauf hin, dass sich HinataBot noch in der aktiven Entwicklung befindet und weiterentwickelt. Die Malware kann mit einem Command-and-Control-Server (C2) kommunizieren, um Anweisungen zu erhalten und Angriffe gegen eine bestimmte IP-Adresse für eine bestimmte Dauer zu starten.

Während frühe Versionen von HinataBot verschiedene Protokolle für DDoS-Angriffe verwenden konnten, verwendet die neueste Version nur HTTP und UDP, und der Grund für diese Änderung ist noch nicht klar.

Wie werden Botnets ähnlich wie HinataBot verwendet, um DDoS-Angriffe auszuführen?

Botnetze wie HinataBot werden häufig zum Starten von DDoS-Angriffen verwendet. Bei einem DDoS-Angriff wird eine große Anzahl von Geräten, oft kompromittierte Computer oder Internet of Things (IoT)-Geräte, verwendet, um ein Ziel mit einer überwältigenden Menge an Datenverkehr zu überfluten. Diese Verkehrsflut führt dazu, dass das Zielsystem langsamer wird, nicht mehr reagiert oder sogar abstürzt.

Ein Botnetz ist ein Netzwerk von Geräten, die kompromittiert wurden und unter der Kontrolle eines Hackers oder einer Gruppe von Hackern stehen. Sobald ein Gerät kompromittiert ist, kann es von den Betreibern des Botnetzes ohne Wissen des Eigentümers ferngesteuert werden. Diese kompromittierten Geräte werden dann verwendet, um DDoS-Angriffe zu starten, wobei die Betreiber des Botnetzes die Geräte anweisen, Datenverkehr an eine Ziel-IP-Adresse oder -Domain zu senden.

HinataBot kann wie andere Botnets verwendet werden, um eine Vielzahl von DDoS-Angriffen zu starten, darunter volumetrische Angriffe, die das Ziel mit Datenverkehr überfluten, Angriffe auf die Anwendungsschicht, die auf bestimmte Schwachstellen in der Anwendungsschicht abzielen, und Protokollangriffe, die Schwachstellen in Netzwerkprotokollen ausnutzen. Die Fähigkeit, diese Art von Angriffen zu starten, macht Botnets zu einem mächtigen Werkzeug für Cyberkriminelle, die versuchen, Online-Dienste zu stören oder lahmzulegen.

Um zu verhindern, Teil eines Botnetzes zu werden, ist es wichtig, Geräte mit den neuesten Sicherheitspatches auf dem neuesten Stand zu halten, starke Passwörter und Zwei-Faktor-Authentifizierung zu verwenden und beim Herunterladen von Software oder Klicken auf Links aus unbekannten Quellen vorsichtig zu sein. Es ist auch wichtig, einen DDoS-Schutzplan zu haben, um die Auswirkungen eines Angriffs zu mindern.