– Xuất xứ và hoạt động: GorillaBot được phát hiện bởi đội ngũ Săn lùng đe dọa toàn cầu của NSFOCUS, hoạt động từ ngày 4 tháng 9 đến 27 tháng 9 năm 2024, đã phát lệnh tấn công hơn 300,000 lần trên hơn 100 quốc gia.
– Ngành nghề mục tiêu: Botnet này nhắm đến nhiều ngành nghề khác nhau, bao gồm viễn thông, tài chính và giáo dục.
– Kỹ thuật mã hóa và lẩn tránh: GorillaBot sử dụng các kỹ thuật mã hóa và lẩn tránh tân tiến để tránh bị phát hiện. Nó áp dụng một cipher tương tự như XTEA cho việc giao tiếp an toàn với các máy chủ chỉ huy và kiểm soát (C2) và bao gồm các kiểm tra chống gỡ lỗi và phân tích để tránh bị phát hiện trong các môi trường ảo hóa hoặc container.
Cơ chế lây nhiễm và hoạt động
– Cơ chế lây nhiễm: GorillaBot lây nhiễm các thiết bị thông qua các lỗ hổng trong các hệ thống Internet of Things (IoT) hoặc các điểm cuối không được bảo mật tốt. Một khi đã bị xâm phạm, nó thiết lập giao tiếp với máy chủ C2 của nó thông qua các socket TCP thô.
– Cơ chế xác thực: Phần mềm độc hại xác thực với máy chủ C2 bằng cách sử dụng một token dựa trên SHA-256 được tạo ra từ một mảng mã hóa cứng và giá trị từ máy chủ. Điều này đảm bảo chỉ các phiên bản bot hợp pháp mới có thể tương tác với hạ tầng C2.
– Lệnh tấn công: Sau khi xác thực, GorillaBot nhận các lệnh tấn công được mã hóa, mà sau đó được giải mã và phân tích để thực hiện. Những lệnh này hướng dẫn botnet thực hiện các cuộc tấn công nhắm vào các hệ thống hoặc mạng cụ thể.
Kỹ thuật lẩn tránh
– Môi trường container hóa và honeypot: GorillaBot kiểm tra các chỉ số như các dấu hiệu liên quan đến Kubernetes trong các tệp `/proc/1/cgroup` và tự ngưng hoạt động nếu phát hiện môi trường ảo hóa hoặc container. Nó cũng kiểm tra trường `TracerPid` trong `/proc/self/status` để phát hiện các công cụ gỡ lỗi và thoát mà không thực hiện payload nếu phát hiện hoạt động nghi ngờ.
Khuyến nghị phòng thủ
– Bảo trì thường xuyên: Các tổ chức được khuyến cáo thường xuyên vá các lỗ hổng trong các thiết bị IoT và các hệ thống mạng khác.
– Hệ thống phát hiện xâm nhập tân tiến: Triển khai các hệ thống phát hiện xâm nhập tân tiến có khả năng xác định các giao tiếp C2 được mã hóa.
– Công cụ sandboxing: Sử dụng các công cụ sandboxing như ANY.RUN để phân tích hành vi phần mềm độc hại theo thời gian thực.
Bối cảnh bổ sung
– So sánh với Mirai: Khác với người tiền nhiệm Mirai, GorillaBot tích hợp các thuật toán mã hóa tùy chỉnh và các biện pháp chống gỡ lỗi, khiến cho việc phát hiện và phân tích trở nên khó khăn hơn nhiều.
– Thông tin về mối đe dọa: Nhu cầu về các nỗ lực hợp tác quốc tế trong việc chống lại các botnet chưa bao giờ quan trọng hơn, xét đến bản chất toàn cầu của các cuộc tấn công từ GorillaBot.
