GorillaBot adlı yeni bir Mirai varyantını içeren dağıtılmış hizmet reddi (DDoS) saldırıları geçen ay keskin bir artış göstererek 300.000 saldırı başlattı ve dünya çapında yaklaşık 20.000 kuruluşu etkiledi; bunların yaklaşık 4.000’i yalnızca ABD’deydi.
Saldırıların %41’inde tehdit aktörü, hedef ağı bir ağ seli ile bunaltmaya çalıştı. Kullanıcı Datagram Protokolü Genellikle oyun, video akışı ve diğer uygulamalarla ilişkilendirilen, temelde hafif, bağlantısız veri birimleri olan (UDP) paketleri. GorillaBot saldırılarının neredeyse dörtte biri TCP ACK Flood’u atla Düşmanın amacının hedefi (genellikle tek bir bağlantı noktasını) çok sayıda sahte TCP Onay (ACK) paketiyle doldurmak olduğu saldırılar.
GorillaBot, Mirai’nin En Yeni Varyantı
NSFocus araştırmacıları “Bu Truva Atı, Mirai ailesinden değiştirilmiş olup ARM, MIPS, x86_64 ve x86 gibi mimarileri desteklemektedir.” geçen haftaki raporda söylendiGorillaBot’un arkasındaki tehdit aktörünün 4 Eylül ile 27 Eylül tarihleri arasında devasa saldırı dalgasını başlattığını gözlemledikten sonra. “Çevrimiçi paket ve komut ayrıştırma modülü, Mirai kaynak kodunu yeniden kullanıyor ancak ‘gorilla botnet’i devrede’ diyen bir imza mesajı bırakıyor. cihaz sen kedi değilsin defol git [sic]’ dolayısıyla bu aileye GorillaBot adını verdik.”
NSFocus, botnet denetleyicisinin, GorillaBot’taki beş yerleşik komut ve kontrol sunucusundan (C2) yararlanarak her gün boyunca düzenli aralıklarla saldırı komutları verdiğini gözlemlediğini söyledi. Zirvede, saldırı komutları tek bir günde 20.000’e ulaştı. Toplamda saldırılar 113 ülkedeki kuruluşları hedef aldı; en çok etkilenen ülke Çin oldu ve onu sırasıyla ABD, Kanada ve Almanya takip etti.
GorillaBot, Mirai kodunu temel almasına rağmen, toplamda 19 adet olmak üzere çok daha fazla DDoS saldırı yöntemini barındırıyor. GorillaBot’taki mevcut saldırı yöntemleri arasında UDP paketleri ve TCP Syn ve ACK paketleri aracılığıyla DDoS saldırıları yer alır. Çok çoklu vektör saldırıları Hedef kuruluşların ele alması zor olabilir çünkü her bir vektör genellikle farklı bir hafifletme yaklaşımı gerektirir.
Örneğin, UDP baskınları gibi hacimsel saldırıların azaltılması genellikle tek bir kaynaktan gelen UDP paketlerinin sayısının hız sınırlamasını veya kısıtlanmasını, kullanılmayan bağlantı noktalarına UDP trafiğinin engellenmesini ve etkiyi azaltmak için saldırı trafiğinin birden fazla sunucuya dağıtılmasını içerir. SynAck taşkın azaltma diğer yandan TCP bağlantılarını izlemek ve yalnızca geçerli ACK paketlerinin işlenmesini sağlamak için durum bilgisi olan güvenlik duvarlarının, SYN çerezlerinin ve izinsiz giriş tespit sistemlerinin kullanılmasıyla ilgilidir.
Kötü Botlar Yükseliyor
GorillaBot gibi kötü botlarla ilgili trafik son birkaç yıldır istikrarlı bir şekilde artıyor ve şu anda İnternet’teki tüm trafiğin önemli bir bölümünü temsil ediyor. Imperva’daki araştırmacılar yakın zamanda 2023 yılında küresel ağından gelen yaklaşık 6 trilyon engellenen hatalı bot talebini analiz etti ve bu tür botlardan gelen trafiğin şu anda tüm çevrimiçi trafiğin %32’sini oluşturduğu sonucuna vardı; bu, önceki yıla göre yaklaşık %2 artış anlamına geliyor. 2013 yılında Imperva benzer bir analiz yaptığında satıcı, kötü bot trafiğinin %23,6 olduğunu ve insan trafiğinin tüm trafiğin %57’sini oluşturduğunu tahmin ediyordu.
Imperva’nın 2024 “Kötü Bot Raporu”, özellikle düşük seviyeli ağ protokollerine yönelik hacimsel DDoS saldırısına değil, tamamen uygulama katmanında kötü botların kullanımına odaklanıyor. Ancak şirketin 2023’te müşterilerin azaltılmasına yardımcı olduğu kötü bot saldırılarının %12,4’ü DDoS saldırılarıydı. Güvenlik sağlayıcısı, genel olarak DoS saldırılarının oyun, sağlık ve perakende sektöründe telekom ve ISP sektörü gibi bazı sektörlerdeki kötü botlara yönelik en büyük veya en büyük kullanım durumları arasında yer aldığını tespit etti. Imperva, tehdit aktörlerinin genellikle herhangi bir sistem kesintisi veya kesintisinin bir kuruluşun operasyonları üzerinde önemli etkiye sahip olabileceği DDoS saldırıları için kötü botlar kullanma eğiliminde olduğunu buldu.