A HinataBot egy új rosszindulatú program, amelyet GoLangban írtak
A közelmúltban felfedezett HinataBot nevű botnet, amely a Golang platformra épül, az útválasztók és szerverek ismert sebezhetőségeit használja ki, hogy elosztott szolgáltatásmegtagadási (DDoS) támadásokat indítson.
A rosszindulatú program készítője a jelek szerint a Naruto animesorozat egyik karakteréről nevezte el. A botnetet különféle módszerekkel terjesztik, beleértve a Huawei HG532 útválasztók és a Realtek SDK-eszközök biztonsági hibáinak kihasználását, valamint a nyilvánosságra hozott Hadoop YARN szervereket. A támadók kihasználják a javítatlan sebezhetőségeket és a gyenge hitelesítő adatokat, amelyek jól ismert és dokumentált belépési pontok, amelyek nem igényelnek bonyolult social engineering taktikát.
A HinataBot mögött álló támadók legalább 2022 decembere óta aktívak, és 2023 januárjában váltottak egy generikus Mirai-változatról egyéni kártevőjükre. Az Akamai HTTP és SSH mézespogácsaiban észlelt legújabb műtermékek azt jelzik, hogy a HinataBot még mindig aktív fejlesztés alatt áll. A rosszindulatú program képes kommunikálni egy parancs- és vezérlőkiszolgálóval (C2), hogy utasításokat kapjon, és meghatározott ideig támadásokat indítson egy adott IP-cím ellen.
Míg a HinataBot korai verziói különféle protokollokat használhattak a DDoS-támadásokhoz, a legújabb verzió csak HTTP-t és UDP-t használ, és ennek a változásnak az oka még nem világos.
Hogyan használhatók a HinataBothoz hasonló botnetek DDoS-támadások futtatására?
Az olyan botneteket, mint a HinataBot, gyakran használják DDoS-támadások indítására. A DDoS támadások során nagyszámú eszközt, gyakran kompromittált számítógépeket vagy Internet of Things (IoT) eszközöket használnak fel arra, hogy elárasztsák a célpontot hatalmas forgalommal. Ez a forgalom áradata a megcélzott rendszer lelassulását, lelassulását vagy akár összeomlását is okozza.
A botnet olyan eszközök hálózata, amelyeket feltörtek, és amelyek egy hacker vagy hackercsoport irányítása alatt állnak. Ha egy eszközt feltörtek, azt a botnet üzemeltetői a tulajdonos tudta nélkül távolról vezérelhetik. Ezeket a feltört eszközöket ezután DDoS támadások indítására használják, a botnet üzemeltetői pedig arra utasítják az eszközöket, hogy forgalmat küldjenek a cél IP-címére vagy tartományára.
A HinataBot a többi botnethez hasonlóan számos DDoS támadás indítására használható, beleértve a volumetrikus támadásokat, amelyek forgalommal árasztják el a célpontot, az alkalmazási réteg támadásait, amelyek az alkalmazási réteg bizonyos sebezhetőségeit célozzák, és a protokolltámadásokat, amelyek kihasználják a hálózati protokollok sebezhetőségeit. Az ilyen típusú támadások indításának képessége a botneteket hatékony eszközzé teszi az online szolgáltatások megzavarására vagy megszüntetésére törekvő kiberbűnözők számára.
A botnet részévé válás elkerülése érdekében fontos, hogy az eszközöket naprakészen tartsa a legújabb biztonsági javításokkal, erős jelszavakat és kétfaktoros hitelesítést használjon, és legyen óvatos, amikor szoftvereket tölt le, vagy ismeretlen forrásból származó hivatkozásokra kattint. Az is elengedhetetlen, hogy rendelkezzen egy DDoS védelmi tervvel a támadás hatásainak mérséklése érdekében.