Gli ex hacker Mirai hanno sviluppato una nuova botnet, soprannominata HinataBot, con il potenziale di causare danni molto maggiori con molte meno risorse richieste ai suoi operatori rispetto al suo predecessore.
Mirai è una delle botnet più famose al mondo. In circolazione dalla metà degli anni 2010, utilizza Dispositivi Internet of Things (IoT) come router e telecamere per colpire obiettivi con enormi quantità di traffico per forzare la negazione del servizio distribuita (DDoS). Alcuni dei suoi attacchi più famosi sono stati contro la società tecnologica francese OVH, il governo della Liberia e Fornitore DNS Dyn, un attacco che ha toccato siti web come Twitter, Reddit, GitHub, CNN e molti altri.
Ora, in a rapporto pubblicato il 16 marzo, i ricercatori di Akamai hanno notato che HinataBot è in fase di sviluppo solo da metà gennaio. Nonostante ciò, secondo i test iniziali, racchiude ordini di grandezza più potenti del suo predecessore, raggiungendo flussi di traffico superiori a 3 Tbit/s.
Quanto è potente HinataBot?
Nel suo periodo di massimo splendore, la botnet Mirai è riuscita a inondare le sue vittime con centinaia di gigabyte al secondo di traffico, fino a 623 Gbit/s per il Sito web di KrebsOnSecurity, e quasi 1 Tbit/s contro OVH. Come notato all'epoca da OVH, quell'enorme ondata di dati è stata resa possibile da a rete di circa 145,000 computer connessi, inviando tutte le richieste ai propri sistemi contemporaneamente.
Per valutare la forza relativa di HinataBot, i ricercatori di Akamai hanno eseguito attacchi di prova di 10 secondi. "Se la botnet contenesse solo 1,000 nodi", hanno scoperto, "il flusso UDP risultante peserebbe a circa 336 Gbps al secondo". In altre parole, con meno dell'1% delle risorse, HinataBot era già in grado di produrre traffico che si avvicinava agli attacchi più feroci di Mirai.
Quando hanno considerato ciò che HinataBot poteva fare con 10,000 nodi, circa il 6.9% delle dimensioni del picco Mirai, il traffico risultante ha superato i 3.3 Tbit/s, molte volte più forte di qualsiasi attacco Mirai.
“Queste capacità teorizzate ovviamente non tengono conto dei diversi tipi di server che parteciperebbero, della rispettiva larghezza di banda e delle capacità hardware, ecc.”, avvertono i ricercatori di Akamai nel rapporto, “ma avete capito. Speriamo che gli autori di HinataBot passino a nuovi hobby prima di dover affrontare la loro botnet su qualsiasi scala reale".
Perché gli hacker scelgono Golang
Gran parte del motivo dei miglioramenti di HinataBot dipende da come è stato scritto.
"La maggior parte del malware è stata tradizionalmente scritta in C++ e C", spiega Allen West, uno dei principali ricercatori del rapporto. Mirai, ad esempio, è stato scritto in C.
Negli ultimi anni, tuttavia, gli hacker sono diventati più creativi. "Stanno cercando di adottare qualsiasi nuovo approccio possibile e questi nuovi linguaggi, come Go, con le sue efficienze e il modo in cui memorizza le stringhe, rendono più difficile per le persone da gestire".
"Go" - abbreviazione di "Golang" - è il linguaggio di programmazione di alto livello alla base di HinataBot. È simile a C, ma, per certi versi, è più potente. Con Golang, spiega Chad Seaman, un altro autore del rapporto, gli hacker "ottengono una migliore gestione degli errori, ottengono la gestione della memoria, ottengono pool di lavoratori con thread facili e un po' più di una piattaforma stabile che fornisce parte della velocità e delle prestazioni che assocerebbe a un linguaggio di livello C e ai binari C o C++, con molte cose che non devono gestire.
"Abbassa solo l'asticella della difficoltà tecnica", dice, "alzando anche l'asticella delle prestazioni rispetto, ad esempio, ad alcuni degli altri linguaggi tradizionali".
Per tutti questi motivi, Go è diventato un scelta popolare per gli autori di malware. Botnet come kmsdbot, VaiTrime Vai BruteForcer sono casi in questione. "Go sta diventando più performante, più diffuso e più comune", afferma Seaman, e il malware che ne deriva è tanto più potente per questo.
Quanto dovrebbero preoccuparsi le aziende di HinataBot?
Per quanto spaventoso possa essere HinataBot, potrebbe esserci un lato positivo.
HinataBot non è semplicemente più efficiente di Mirai: esso deve essere più efficiente perché funziona con meno.
"Le vulnerabilità attraverso le quali si diffonde non sono nuove o nuove", afferma Seaman. HinataBot sfrutta punti deboli e CVE già noti alla comunità della sicurezza e utilizzati da altre botnet. È un ambiente abbastanza diverso da quello in cui operava Mirai nel 2016-'17 circa, quando le vulnerabilità dell'IoT erano nuove e la sicurezza dei dispositivi non era al primo posto.
"Non credo che vedremo un caso di un altro Mirai, a meno che non diventino creativi nel modo in cui stanno distribuendo e nelle loro tecniche di infezione", dice Seaman. "Non vedremo un'altra minaccia simile a Mirai da 70,000 o 100,000 nodi da parte degli autori di Hinata con le loro attuali tattiche, tecniche e procedure".
Un osservatore meno ottimista potrebbe notare che, avendo solo un paio di mesi, HinataBot ha tutto il tempo per migliorare le sue limitate debolezze. "Potrebbe essere solo una fase introduttiva, giusto?" Marinaio sottolinea. "Finora stanno afferrando frutti bassi, senza bisogno di uscire e fare ancora qualcosa di veramente nuovo."
Nessuno può ancora dire quanto diventerà grande questa botnet o in che modo cambierà nel tempo. Per ora, possiamo solo prepararci a ciò che sappiamo: che si tratta di uno strumento molto potente, che opera su canali noti e sfrutta vulnerabilità note.
"Non c'è nulla che stiano facendo all'interno del traffico che eluda i controlli di sicurezza che abbiamo già messo in atto", osserva Larry Cashdollar, il terzo autore del rapporto. “Gli exploit sono vecchi. Non ci sono giorni zero. Quindi, così com'è, i principi di sicurezza fondamentali per difendersi da questo tipo di minaccia” — politiche di password complesse, doverose patch e così via — “sono gli stessi. Sono ancora sufficienti.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/mirai-hackers-golang-bigger-badder-ddos-botnet
- :È
- $ SU
- 000
- 1
- 10
- 100
- 7
- 70
- a
- WRI
- Secondo
- Il mio account
- contro
- Tutti
- già
- importi
- ed
- Un altro
- approccio
- si avvicina
- Archivio
- SONO
- in giro
- AS
- Associate
- At
- attacco
- attacchi
- autore
- gli autori
- Larghezza di banda
- bar
- BE
- perché
- diventare
- diventando
- prima
- essendo
- Meglio
- Big
- maggiore
- Po
- BleepingComputer
- Botnet
- botnet
- Brillants
- aziende
- by
- C++
- telecamere
- Materiale
- funzionalità
- capace
- Custodie
- casi
- Causare
- il cambiamento
- canali
- scegliere
- la scelta
- Circolazione
- CNN
- Uncommon
- comunità
- azienda
- collegato
- considerato
- controlli
- potuto
- Coppia
- creare
- Creative
- Corrente
- dati
- Giorni
- Protezione
- affare
- Difendere
- Denial of Service
- Nonostante
- sviluppato
- Mercato
- dispositivi
- diverso
- difficile
- Livello di difficoltà
- distribuito
- distribuzione
- fare
- giù
- soprannominato
- efficienze
- efficiente
- abilitato
- Ambiente
- errore
- eccetera
- esempio
- Spiega
- gesta
- alluvione
- flussi
- Nel
- forza
- essere trovato
- Francese
- da
- fondamentale
- ottenere
- GitHub
- Go
- andando
- Enti Pubblici
- maggiore
- hacker
- Manovrabilità
- Hardware
- Avere
- alto livello
- Colpire
- speranza
- Come
- HTTPS
- Enorme
- centinaia
- i
- competenze
- miglioramenti
- in
- In altre
- inizialmente
- introduttivo
- IoT
- IT
- SUO
- jpg
- Genere
- Sapere
- conosciuto
- Lingua
- Le Lingue
- leveraggi
- piace
- Limitato
- piccolo
- lotto
- Basso
- corrente principale
- FA
- il malware
- gestire
- gestito
- gestione
- molti
- Marzo
- massiccio
- Memorie
- forza
- mente
- mese
- Scopri di più
- più efficiente
- maggior parte
- cambiano
- quasi
- che necessitano di
- New
- nodi
- noto
- Note
- famigerato
- romanzo
- of
- Vecchio
- on
- ONE
- operato
- operativo
- Operatori
- Ottimista
- ordini
- Altro
- Pacchetti
- partecipante
- Password
- patching
- Corrente di
- Persone
- performance
- fase
- immagine
- posto
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Abbondanza
- punto
- punti
- Termini e Condizioni
- Piscine
- potenziale
- potente
- predecessore
- Preparare
- Direttore
- principi
- procedure
- Programmazione
- fornitore
- fornisce
- pubblicato
- metti
- raccolta
- RE
- raggiungendo
- di rose
- ragione
- motivi
- recente
- rapporto
- richieste
- necessario
- ricercatori
- Risorse
- quelli
- risultante
- Risultati
- approssimativamente
- s
- stesso
- dice
- Scala
- Secondo
- problemi di
- invio
- Server
- servizio
- Corti
- dovrebbero
- lato
- simile
- semplicemente
- contemporaneamente
- da
- Taglia
- So
- finora
- alcuni
- velocità
- diffondere
- stabile
- si
- Ancora
- negozi
- forza
- forte
- più forte
- tale
- sufficiente
- SISTEMI DI TRATTAMENTO
- tattica
- Fai
- obiettivi
- Consulenza
- tecniche
- Tecnologia
- test
- test
- che
- Il
- il mondo
- loro
- Strumenti Bowman per analizzare le seguenti finiture:
- cose
- Terza
- minaccia
- Attraverso
- tempo
- volte
- a
- top
- sormontato
- toccato
- tradizionale
- tradizionalmente
- traffico
- per
- uso
- utilizzati
- Ve
- vittime
- vulnerabilità
- Wave
- Modo..
- modi
- siti web
- pesare
- ovest
- Che
- quale
- while
- volere
- con
- entro
- senza
- parole
- lavoratore
- lavoro
- mondo
- sarebbe
- scritto
- anni
- Tu
- zefiro
- zero