Новый ботнет HinataBot может запускать массовые DDoS-атаки со скоростью 3,3 Тбит/с

Новый ботнет HinataBot может запускать массовые DDoS-атаки со скоростью 3,3 Тбит/с. Фото: СС0

Новый ботнет был обнаружен исследователями компании Akamai в начале года. Они выявили сеть с помощью приманок HTTP и SSH, используя старые недостатки CVE-2014-8361 и CVE-2017-17215.

В Akamai отмечают, что операторы HinataBot изначально распространяли бинарные файлы Mirai, а HinataBot впервые появился в середине января 2023 года. Похоже, что он основан на Mirai и представляет собой вариант печально известного штамма на основе Go.

Собрав несколько образцов из активных кампаний совсем недавно, в марте 2023 года, исследователи Akamai пришли к выводу, что вредоносное ПО находится в активной разработке с функциональными улучшениями и дополнениями для защиты от анализа.

Вредоносное ПО распространяется путем перебора конечных точек SSH или с использованием сценариев заражения и полезных нагрузок RCE для известных уязвимостей.

После заражения устройств зловред будет спокойно работать, ожидая выполнения команд с сервера управления.

Аналитики Akamai создали собственный C2 и взаимодействовали с смоделированными инфекциями, чтобы инсценировать HinataBot для DDoS-атак, чтобы наблюдать за вредоносным ПО в действии и делать выводы о его атакующих возможностях.

Старые версии HinataBot поддерживали потоки HTTP, UDP, ICMP и TCP, но в новых версиях есть только первые два. Однако даже с двумя режимами атаки ботнет потенциально может выполнять очень мощные распределенные атаки типа «отказ в обслуживании».

Хотя команды атаки HTTP и UDP различаются, обе они создают рабочий пул из 512 рабочих процессов, которые отправляют жестко закодированные пакеты данных целям в течение определенного времени.

Размер HTTP-пакета варьируется от 484 до 589 байт. Пакеты UDP, сгенерированные HinataBot, особенно велики (65 549 байт) и состоят из нулевых байтов, способных перегрузить цель большим объемом трафика.

HTTP-флуды генерируют большие объемы запросов к веб-сайтам, в то время как UDP-флуд отправляет большие объемы мусорного трафика к цели; следовательно, два метода пытаются добиться отключения, используя другой подход.

Akamai проверил ботнет на 10-секундные атаки как для HTTP, так и для UDP, а в HTTP-атаке вредоносное ПО сгенерировало 20 430 запросов на общий размер 3,4 МБ. UDP-флуд сгенерировал 6733 пакета общим объемом 421 МБ данных.

Исследователи подсчитали, что при 1000 узлах UDP-флуд может генерировать примерно 336 Гбит/с, а при 10 тыс. узлов объем данных атаки достигает 3,3 Тбит/с.

В случае HTTP-флуда 1000 захваченных устройств будут генерировать 2 000 000 запросов в секунду, а 10 тыс узлов — 20,4 млн запросов в секунду и 27 Гбит/с.

HinataBot все еще находится в разработке и его авторы в любое время могут реализовать больше эксплойтов и расширить сферу своей деятельности. Кроме того, тот факт, что его разработка настолько активна, увеличивает вероятность того, что в ближайшее время появятся более мощные версии.

Из сообщения компании:

«Эти теоретические возможности, очевидно, не учитывают различные типы серверов, которые будут задействованы, их соответствующую пропускную способность и аппаратные возможности и т. д. Будем надеяться, что авторы HinataBot перейдут к новым увлечениям, прежде чем нам придется иметь дело с их ботнетом в любом реальном масштабе».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Пользователи Google One получат VPN без дополнительной платы.
• Все больше компаний подвергаются взлому из-за недостатков удаленной работы.
• Разработчики Microsoft Excel сделали важный шаг в области защиты данных.