Tidligere Mirai-hackere har udviklet et nyt botnet, kaldet HinataBot, med potentiale til at forårsage langt større skade med langt færre ressourcer, der kræves af dets operatører end dets forgænger.
Mirai er et af verdens mest berygtede botnets. I omløb siden midten af 2010'erne bruger den Internet of Things (IoT) enheder som routere og kameraer til at ramme mål med enorme mængder trafik for at fremtvinge distribueret denial of service (DDoS). Nogle af dets mest berygtede angreb var mod det franske teknologiselskab OVH, regeringen i Liberia og DNS-udbyder Dyn, et angreb, der berørte websteder som Twitter, Reddit, GitHub, CNN og mange flere.
Nu, i en rapport offentliggjort 16. marts, bemærkede forskere fra Akamai, at HinataBot kun har været under udvikling siden midten af januar. På trods af det, ifølge indledende test, pakker den i størrelsesordener mere kraftfuld end sin forgænger og når mere end 3 Tbit/s trafikstrømme.
Hvor kraftfuld er HinataBot?
I sin storhedstid lykkedes det Mirai-botnettet at oversvømme sine ofre med hundredvis af gigabyte pr. sekund i trafikken - op til 623 Gbit/s for KrebsOnSecurity hjemmeside, og næsten 1 Tbit/s mod OVH. Som OVH bemærkede på det tidspunkt, blev den enorme bølge af data aktiveret af en netværk af omkring 145,000 tilsluttede computere, alle sender anmodninger til deres systemer samtidigt.
For at måle HinataBots relative styrke kørte Akamai-forskerne 10 sekunders testangreb. "Hvis botnettet kun indeholdt 1,000 noder," fandt de, "ville den resulterende UDP-oversvømmelse veje ind med omkring 336 Gbps per sekund." Med andre ord, med mindre end 1% af ressourcerne var HinataBot allerede i stand til at producere trafik, der nærmede sig Mirais mest ondskabsfulde angreb.
Da de overvejede, hvad HinataBot kunne gøre med 10,000 noder - omkring 6.9% af størrelsen på toppen af Mirai - toppede den resulterende trafik med mere end 3.3 Tbit/s, mange gange stærkere end noget Mirai-angreb.
"Disse teoretiserede muligheder tager naturligvis ikke højde for de forskellige slags servere, der ville deltage, deres respektive båndbredde og hardwarekapaciteter osv.," advarede Akamai-forskere i rapporten, "men du forstår billedet. Lad os håbe, at HinataBot-forfatterne går over til nye hobbyer, før vi skal beskæftige os med deres botnet i nogen reel skala."
Hvorfor hackere vælger Golang
Meget af årsagen til HinataBots forbedringer kommer ned til, hvordan det blev skrevet.
"Det meste malware er traditionelt blevet skrevet i C++ og C," forklarer Allen West, en af rapportens hovedforskere. Mirai, for eksempel, blev skrevet i C.
I de senere år er hackere dog blevet mere kreative. "De forsøger at tage en hvilken som helst ny tilgang, de kan, og disse nye sprog - såsom Go, med dets effektivitet og måden, det gemmer strenge på - gør det sværere for folk at håndtere."
"Go" - forkortelse for "Golang" - er programmeringssproget på højt niveau, der understøtter HinataBot. Det ligner C, men på nogle måder er det mere kraftfuldt. Med Golang, forklarer Chad Seaman, en anden forfatter til rapporten, får hackere "bedre fejlhåndtering, de får hukommelsesstyring, de får nemme trådede arbejderpuljer og en lille smule mere af en stabil platform, der giver noget af den hastighed og ydeevne, du ville associere med et sprog på C-niveau og C eller C++ binære filer, med en masse ting, som de ikke behøver at administrere."
"Det sænker bare overliggeren for tekniske vanskeligheder," siger han, "og samtidig hæver præstationsbarren over for eksempel nogle af de andre traditionelle sprog."
Af alle disse grunde er Go blevet en populært valg for malware-forfattere. Botnets som kmsdbot, GoTrimog GoBruteForcer er tilfældet. "Go bliver mere performant og mere mainstream og mere almindelig," siger Seaman, og den malware, der resulterer i, er så meget desto mere kraftfuld for det.
Hvor meget skal virksomheder bekymre sig om HinataBot?
Så skræmmende som HinataBot kan være, kan der være en lys side.
HinataBot er ikke bare mere effektiv end Mirai - den være mere effektiv, fordi den arbejder med mindre.
"Sårbarhederne, hvorigennem det spredes, er ikke nye eller nye," siger Seaman. HinataBot udnytter svagheder og CVE'er, der allerede er kendt af sikkerhedssamfundet og brugt af andre botnets. Det er et miljø helt anderledes end det, som Mirai drev i omkring 2016-'17, hvor IoT-sårbarheder var nye, og sikkerheden for enhederne ikke var i top.
"Jeg tror ikke, vi kommer til at se et tilfælde af en anden Mirai, medmindre de bliver kreative i, hvordan de distribuerer og deres infektionsteknikker," siger Seaman. "Vi kommer ikke til at se endnu en Mirai-lignende trussel på 70,000 eller 100,000 noder fra Hinata-forfatterne under deres nuværende taktik, teknikker og procedurer."
En mindre optimistisk iagttager vil måske bemærke, at der, som kun er et par måneder gammel nu, er masser af tid for HinataBot til at forbedre sine begrænsede svagheder. "Det er måske bare en introduktionsfase, ikke?" Seaman påpeger. "De har fat i lavthængende frugt indtil videre, uden at de behøver at gå ud og lave noget virkelig nyt endnu."
Ingen kan endnu sige, hvor stort dette botnet bliver, eller på hvilke måder det vil ændre sig over tid. Indtil videre kan vi kun forberede os på, hvad vi ved - at dette er et meget kraftfuldt værktøj, der fungerer over kendte kanaler og udnytter kendte sårbarheder.
"Der er intet, de laver i trafikken, der omgår sikkerhedskontrollen, vi allerede har indført," bemærker Larry Cashdollar, rapportens tredje forfatter. »Bedrifterne er gamle. Der er ingen nul dage. Så som det står, er de grundlæggende sikkerhedsprincipper for at forsvare sig mod denne form for trusler" - stærke adgangskodepolitikker, pligtopfyldende patching og så videre - "de samme. De er stadig tilstrækkelige."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/mirai-hackers-golang-bigger-badder-ddos-botnet
- :er
- $OP
- 000
- 1
- 10
- 100
- 7
- 70
- a
- Om
- Ifølge
- Konto
- mod
- Alle
- allerede
- beløb
- ,
- En anden
- tilgang
- nærmer sig
- Arkiv
- ER
- omkring
- AS
- Associate
- At
- angribe
- Angreb
- forfatter
- forfattere
- båndbredde
- Bar
- BE
- fordi
- bliver
- blive
- før
- være
- Bedre
- Big
- større
- Bit
- BleepingComputer
- botnet
- botnets
- Bright
- virksomheder
- by
- C + +
- kameraer
- CAN
- kapaciteter
- stand
- tilfælde
- tilfælde
- Årsag
- lave om
- kanaler
- valg
- vælge
- Circulation
- CNN
- Fælles
- samfund
- selskab
- tilsluttet
- betragtes
- kontrol
- kunne
- Par
- skabe
- Kreativ
- Nuværende
- data
- Dage
- DDoS
- deal
- Forsvar
- Denial of Service
- Trods
- udviklet
- Udvikling
- Enheder
- forskellige
- svært
- Vanskelighed
- distribueret
- distribution
- gør
- ned
- døbt
- effektivitet
- effektiv
- aktiveret
- Miljø
- fejl
- etc.
- eksempel
- Forklarer
- exploits
- oversvømmelse
- strømme
- Til
- Tving
- fundet
- Fransk
- fra
- fundamental
- få
- GitHub
- Go
- gå
- Regering
- større
- hackere
- Håndtering
- Hardware
- Have
- højt niveau
- Hit
- håber
- Hvordan
- HTTPS
- kæmpe
- Hundreder
- i
- Forbedre
- forbedringer
- in
- I andre
- initial
- indledende
- tingenes internet
- IT
- ITS
- jpg
- Venlig
- Kend
- kendt
- Sprog
- Sprog
- Udnytter
- ligesom
- Limited
- lidt
- Lot
- Lav
- Mainstream
- maerker
- malware
- administrere
- lykkedes
- ledelse
- mange
- Marts
- massive
- Hukommelse
- måske
- tankerne
- måned
- mere
- mere effektiv
- mest
- bevæge sig
- næsten
- behøve
- Ny
- noder
- bemærkede
- Noter
- berygtet
- roman
- of
- Gammel
- on
- ONE
- betjenes
- drift
- Operatører
- Optimistisk
- ordrer
- Andet
- Packs
- deltager
- Adgangskode
- lappe
- Peak
- Mennesker
- ydeevne
- fase
- billede
- Place
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Masser
- Punkt
- punkter
- politikker
- Pools
- potentiale
- vigtigste
- forgænger
- Forbered
- Main
- principper
- procedurer
- Programmering
- udbyder
- giver
- offentliggjort
- sætte
- hæve
- RE
- nå
- ægte
- grund
- årsager
- nylige
- indberette
- anmodninger
- påkrævet
- forskere
- Ressourcer
- dem
- resulterer
- Resultater
- groft
- s
- samme
- siger
- Scale
- Anden
- sikkerhed
- afsendelse
- Servere
- tjeneste
- Kort
- bør
- side
- lignende
- ganske enkelt
- samtidigt
- siden
- Størrelse
- So
- indtil nu
- nogle
- hastighed
- spredes
- stabil
- står
- Stadig
- forhandler
- styrke
- stærk
- stærkere
- sådan
- tilstrækkeligt
- Systemer
- taktik
- Tag
- mål
- Teknisk
- teknikker
- Teknologier
- prøve
- tests
- at
- verdenen
- deres
- Disse
- ting
- Tredje
- trussel
- Gennem
- tid
- gange
- til
- værktøj
- top
- toppet
- rørt
- traditionelle
- traditionelt
- Trafik
- under
- brug
- udnyttet
- Ve
- ofre
- Sårbarheder
- Wave
- Vej..
- måder
- websites
- veje
- Vest
- Hvad
- som
- mens
- vilje
- med
- inden for
- uden
- ord
- arbejdstager
- arbejder
- world
- ville
- skriftlig
- år
- Du
- zephyrnet
- nul