Share

พบ Gorilla Botnet ในการโจมตี DDoS ทั่วโลก

Last updated: 9 Oct 2024
111 Views
พบ Gorilla Botnet ในการโจมตี DDoS ทั่วโลก

สรุปข้อมูล 

ในช่วงเดือนกันยายน 2567 ที่ผ่านมา พบการโจมตีแบบ Denial-of-service (DDoS) ด้วยมัลแวร์ GorillaBot มุ่งเป้าโจมตีมากกว่า 100 ประเทศทั่วโลกโดยเฉพาะประเทศจีนและสหรัฐอเมริกา หน่วยงานที่ถูกโจมตีมีหลากหลายไม่ว่าจะเป็นมหาวิทยาลัย, ธนาคาร, องค์กรรัฐบาล, การโทรคมนาคม ฯลฯ 

มัลแวร์ GorillaBot เป็นมัลแวร์ประเภท Botnet ที่พัฒนาและดัดแปลงมาจาก Source Code ของมัลแวร์ Mirai Botnet โดย Gorilla Botnet นี้สามารถใช้รูปแบบการโจมตี DDoS ได้หลายรูปแบบ เช่น การโจมตีแบบ UDP Flood, ACK BYPASS Flood และ VSE Flood ตามลำดับ ในการโจมตีด้วยมัลแวร์นี้ส่งผลให้เว็บไซต์หรือระบบของเหยื่อเกิดความขัดข้องหรือหยุดทำงานจนผู้ใช้งานไม่สามารถเข้าใช้งานได้

 

รายละเอียดเชิงเทคนิค 

มัลแวร์ Gorilla มีการดัดแปลงจาก Source Code ในส่วนโมดูล Package และ Command Parsing ต่าง ๆ ของ Mirai ซึ่ง Gorilla นั้นมีความสามารถที่มากขึ้นกว่ามัลแวร์ Mirai เดิมดังนี้

  • รองรับการใช้งานบนสถาปัตยกรรมของเครื่องได้หลากหลายมากกว่า เช่น ARM, MIPS, x86_64, และ x86
  • สามารถเลือกการเชื่อมต่อจาก 5 Built-in C2 Server เพื่อใช้รับ Command ในการโจมตี DDoS
  • มีวิธีการโจมตีแบบ DDoS ที่มากกว่า Mirai
  • ใช้ KekSec Algorithm ในการ Encryption และ Decryption
  • มีการใช้ฟังก์ชัน "yarn_init" เพื่อใช้ในการเจาะช่องโหว่ของ Hadoop Yarn RPC เนื่องจากในการติดตั้ง Hadoop YARN นั้นต้องใช้สิทธิ์ Administrator ซึ่งทำให้แฮกเกอร์มีสิทธิ์นี้หลังจากทำการโจมตีช่องโหว่นี้สำเร็จ
  • Persistence มีการสร้าง custome[.]service ใน /etc/systemd/system/ ซึ่งเป็น Directory ที่ทำงานอัตโนมัติหลังเครื่อง Startup โดยที่ Service นี้มีหน้าที่ในการดาวน์โหลด Script ไปที่ /tmp/ และตั้งค่า Permission ในการรัน Script นอกจากนี้ยังมีการเพิ่ม Command บน Directory ที่ใช้หลังการ Startup ระบบและเวลา User Login อีกด้วย
  • มีการตรวจสอบ /proc เพื่อเช็คว่าอุปกรณ์นั้นมี Honeypot หรือไม่

 

ผลกระทบจากการโจมตี 

การโจมตีด้วย Gorilla Botnet นั้นสามารถทำให้ระบบหรือเว็บไซต์ที่ให้บริการนั้นเกิดความขัดข้องหรือล่มได้ เมื่อผู้ใช้บริการ ต้องการใช้งานเว็บไซต์นั้นอาจเข้าถึงหน้าเว็บไซต์ไม่ได้ ซึ่งอาจส่งผลให้ผู้ให้บริการเสียความน่าเชื่อถือ สูญเสียรายได้ และโอกาสที่จะได้ผู้ใช้บริการใหม่เพิ่มขึ้น

 

คำแนะนำ

  • เปิดใช้งาน DDoS Protection เพิ่มความปลอดภัย Web Server
  • พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
  • อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
  • การทำ Rate Limit ในการจำกัด Traffic ของระบบ ไม่ให้เกิด Request เยอะจนเกิดผลกระทบ
  • ปิดช่องทางการเข้าถึงโดยไม่จำเป็น เช่น Protocol UDP หากไม่ได้ใช้งาน
  • ปิดช่องทางการเข้าถึง Http Method ที่ไม่จำเป็น โดยปกติจะเปิดใช้งานเพียง Post และ Get เท่านั้น

 

Indicators of Compromise (IoCs)

มัลแวร์ GorillaBot
MD5
276adc6a55f13a229a5ff482e49f3a0b
63cbfc2c626da269c67506636bb1ea30
7f134c477f307652bb884cafe98b0bf2
3a3be84df2435623132efd1cd9467b17
03a59780b4c5a3c990d0031c959bf7cc
5b37be51ee3d41c07d02795a853b8577
15f6a606ab74b66e1f7e4a01b4a6b2d7

 

แหล่งอ้างอิง

hxxps[:]//thehackernews[.]com/2024/10/new-gorilla-botnet-launches-over-300000[.]html

hxxps[:]//nsfocusglobal[.]com/over-300000-gorillabot-the-new-king-of-ddos-attacks/

Related Content
Compare product
0/4
Remove all
Compare