СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.03.2025
#Dev#ИБ#Инфра

ГориллаБот: Новая угроза в киберпространстве

ГориллаБот: Новая угроза в киберпространстве

Источник: any.run

GorillaBot — это недавно выявленный вариант вредоносного ПО, основанный на платформе ботнета Mirai, который активно проводит масштабные кибероперации, осуществив более 300 000 атак в более чем 100 странах за короткий период. Этот ботнет представляет серьезную угрозу для множества секторов, включая телекоммуникации, финансы и образование.

Техническая архитектура GorillaBot

Техническая архитектура GorillaBot включает в себя расширенные возможности с пользовательским шифрованием и тактикой уклонения, что повышает его скрытность от механизмов обнаружения:

  • Командно-контрольная связь (C2): GorillaBot устанавливает связь с использованием простых TCP-сокетов, в отличие от протоколов более высокого уровня, таких как HTTP/HTTPS.
  • Шифрование: Первоначально вредоносная программа подключается к серверу C2 после расшифровки IP-адреса сервера с помощью пользовательской реализации алгоритма шифрования XTEA.
  • Аутентификация: Бот отправляет пробный пакет, который запрашивает у сервера «волшебное» байтовое значение для создания идентификатора бота, который хэшируется с использованием SHA-256.

Методы обхода и дополнительная безопасность

Одним из примечательных аспектов GorillaBot является его тщательная проверка на подлинность целевых систем:

  • Проверка файла /proc/self/status на наличие отладчика.
  • Проверка определенных полей в файловой системе /proc для определения выполнения в контейнерной среде.

Если эти проверки сигнализируют о нецелевой среде, GorillaBot немедленно завершает работу, что повышает его устойчивость к анализу и смягчению последствий. Методы обхода также включают:

  • Применение мер по предотвращению отладки, таких как регистрация обратного вызова для завершения работы при получении сигнала SIGTRAP.
  • Использование шифра Цезаря со сдвигом в 3 для скрытия определенных строк.

Функциональность атак

После успешной аутентификации GorillaBot получает пакеты информации о цели атаки с сервера C2, что позволяет ему инициировать команды атаки. Функциональность его последовательностей анализа атак точно соответствует функциональности исходной кодовой базы Mirai, что указывает на стратегическое повторное использование устаревшего кода для современных угроз.

Заключение

В целом, GorillaBot демонстрирует эволюцию вредоносного ПО на базе Mirai, сочетая устоявшиеся платформы с обновленными методологиями. Комплексный подход GorillaBot к обеспечению безопасности связи C2, обнаружению окружения и выполнению атак подчеркивает постоянную угрозу, исходящую от таких разновидностей вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: