Das Akamai Security Intelligence Response-Team (HERR) berichtete kürzlich über die Entdeckung eines neu entwickelten Go-basierten Botnetzes, genannt “HinataBot” von Forschern. Auf dieses Botnet wird fokussiert Distributed Denial of Service (DDoS) Angriffe und scheint nach einer Figur aus der beliebten Anime-Serie benannt worden zu sein, Naruto, vom Malware-Autor.
CVE-2014-8361, CVE-2017-17215 Wird bei DDoS-Angriffen verwendet
Beobachtete Infektionsversuche beinhalteten die Ausnutzung des miniigd SOAP-Dienstes auf Realtek SDK-Geräten (CVE-2014-8361), Ausnutzung einer Schwachstelle in Huawei HG532-Routern (CVE-2017-17215), und auf exponierte Hadoop-YARN-Server abzielen (CVE nicht verfügbar).
Bemerkenswert ist die Huawei-Schwachstelle, insbesondere, wurde verwendet, um ein Botnet von einem Malware-Autor namens Anarchy in aufzubauen 2018 dass mehr als kompromittiert 18,000 Router an einem einzigen Tag. Laut Sicherheitsexperten, Anarchy könnte derselbe Hacker sein, der zuvor den Spitznamen Wicked verwendet hat und hinter einigen von Mirais Variationen steckt (Böse, Omni, und Owari).
Ein Blick in HinataBot
HinataBot, die im Wesentlichen eine Go-basierte Malware ist, wurde in HTTP- und SSH-Honeypots aufgedeckt. Die Malware ist aufgrund ihrer Größe und des Fehlens einer spezifischen Identifizierung um ihre neueren Hashes bemerkenswert. Die Dateinamenstrukturen der Malware-Binärdateien wurden nach einer Figur aus der beliebten Anime-Serie benannt, Naruto, sowie “Hinata-
Aufgrund seiner hohen Leistung, Leichtigkeit des Multithreading, und seine Fähigkeit, für mehrere Architekturen und Betriebssysteme übergreifend kompiliert zu werden, die Verbreitung von Go-basierten Bedrohungen wie HinataBot, GoBruteForcer, und kmsdbot nimmt zu. Angreifer können Go wegen seiner Komplexität beim Kompilieren wählen, Dadurch wird es schwieriger, die endgültigen Binärdateien zurückzuentwickeln.
HinataBot wurde entwickelt, um über mehrere Methoden zu kommunizieren, B. Initiieren und Annehmen eingehender Verbindungen. In der Vergangenheit, Es wurde beobachtet, dass DDoS-Flooding-Angriffe mit Protokollen wie HTTP durchgeführt wurden, UDP, TCP, und ICMP. Jedoch, Die neueste Version von HinataBot hat seine Angriffsmethoden nur auf HTTP und UDP beschränkt.
Das Aufkommen von HinataBot ist ein Beweis für die sich ständig verändernde Bedrohungslandschaft, insbesondere im Hinblick auf Botnets. Cyberkriminelle entwickeln ständig neue Wege, um bösartigen Code einzusetzen, wie die Codierung in verschiedenen Sprachen und die Nutzung verschiedener Vertriebsnetzwerke. Durch Anleihen bei etablierten Taktiken, wie die von den Berüchtigten beschäftigten Mirai, Angreifer können sich darauf konzentrieren, Malware zu erstellen, die schwer zu erkennen ist und sich im Laufe der Zeit weiterentwickeln kann, während neue Funktionen integriert werden, schloss das Akamai-Team.