طور قراصنة ميراي السابقون روبوتات جديدة ، يطلق عليها اسم HinataBot ، مع إمكانية إحداث أضرار أكبر بكثير بموارد أقل بكثير مطلوبة من مشغليها من سابقتها.
ميراي هي واحدة من أكثر شبكات الروبوت شهرة في العالم. في التداول منذ منتصف عام 2010 ، يستخدم أجهزة إنترنت الأشياء (IoT) مثل أجهزة التوجيه والكاميرات لضرب الأهداف بكميات هائلة من حركة المرور لفرض رفض الخدمة الموزع (DDoS). كانت بعض أكثر هجماتها سيئة السمعة ضد شركة التكنولوجيا الفرنسية OVH ، وحكومة ليبيريا ، و مزود DNS Dyn، وهو هجوم طال مواقع الويب مثل Twitter و Reddit و GitHub و CNN وغيرها الكثير.
الآن ، في نشر التقرير في 16 مارس، لاحظ باحثون من Akamai أن HinataBot لا يزال قيد التطوير منذ منتصف يناير. على الرغم من ذلك ، وفقًا للاختبارات الأولية ، فإنه يحزم أوامر من حيث الحجم أقوى من سابقتها ، حيث يصل إلى أكثر من 3 تيرابايت / ثانية من تدفق حركة المرور.
ما مدى قوة HinataBot؟
في ذروتها ، تمكنت الروبوتات من Mirai من إغراق ضحاياها بمئات الجيجابايت في الثانية في حركة المرور - حتى 623 جيجابت / ثانية بالنسبة إلى موقع ويب كريبس أون سكيورتي، وما يقرب من 1 تيرابايت / ثانية مقابل OVH. كما لاحظ OVH في ذلك الوقت ، تم تمكين تلك الموجة الضخمة من البيانات بواسطة ملف شبكة من حوالي 145,000 جهاز كمبيوتر متصل، ترسل جميع الطلبات إلى أنظمتها في وقت واحد.
لقياس القوة النسبية لـ HinataBot ، أجرى باحثو Akamai هجمات اختبار لمدة 10 ثوانٍ. ووجدوا أنه "إذا احتوت الروبوتات على 1,000 عقدة فقط ، فإن فيضان UDP الناتج سوف يصل إلى حوالي 336 جيجابت في الثانية في الثانية". بعبارة أخرى ، مع أقل من 1٪ من الموارد ، كان HinataBot قادرًا بالفعل على إنتاج حركة مرور تقترب من أكثر هجمات Mirai شراسة.
عندما نظروا في ما يمكن أن يفعله HinataBot مع 10,000 عقدة - ما يقرب من 6.9٪ من حجم ذروة Mirai - تجاوزت حركة المرور الناتجة 3.3 تيرا بايت / ثانية ، وهي أقوى عدة مرات من أي هجوم Mirai.
حذر باحثو Akamai في التقرير: "من الواضح أن هذه القدرات النظرية لا تأخذ في الاعتبار الأنواع المختلفة من الخوادم التي ستشارك ، وعرض النطاق الترددي الخاص بها وقدرات الأجهزة ، وما إلى ذلك" ، "لكنك تحصل على الصورة. دعونا نأمل أن ينتقل مؤلفو HinataBot إلى هوايات جديدة قبل أن نضطر إلى التعامل مع الروبوتات الخاصة بهم على أي نطاق حقيقي ".
لماذا يختار المتسللون Golang
يعود جزء كبير من سبب تحسينات HinataBot إلى كيفية كتابته.
يوضح ألين ويست ، أحد الباحثين الرئيسيين في التقرير: "تمت كتابة معظم البرامج الضارة تقليديًا بلغتي C ++ و C". ميراي ، على سبيل المثال ، كُتبت بلغة C.
لكن في السنوات الأخيرة ، أصبح المخترقون أكثر إبداعًا. "إنهم يحاولون اتباع أي نهج جديد يمكنهم اتباعه ، وهذه اللغات الجديدة - مثل Go ، بكفاءاتها وطريقة تخزينها - تجعل التعامل معها أكثر صعوبة."
"Go" - اختصار لـ "Golang" - هي لغة البرمجة عالية المستوى التي يقوم عليها HinataBot. إنه مشابه لـ C ، لكنه أكثر قوة من بعض النواحي. يوضح تشاد سيمان ، وهو مؤلف آخر للتقرير ، أنه مع Golang ، "يحصل المتسللون على معالجة أفضل للأخطاء ، ويحصلون على إدارة للذاكرة ، ويحصلون على مجموعات عمال مترابطة سهلة ، والمزيد من النظام الأساسي المستقر الذي يوفر لك بعض السرعة والأداء قد يرتبط بلغة المستوى C ، وثنائيات C أو C ++ ، مع الكثير من الأشياء التي لا يتعين عليهم إدارتها. "
يقول: "إنه يقلل فقط من مستوى الصعوبة الفنية ، بينما يرفع مستوى الأداء أيضًا ، على سبيل المثال ، بعض اللغات التقليدية الأخرى."
لكل هذه الأسباب ، أصبح Go ملف خيار شائع لمؤلفي البرامج الضارة. مثل Botnets كمسدبوت, GoTrimو GoBruteForcer هي أمثلة على ذلك. يقول سيمان: "أصبحت Go أكثر أداءً وأكثر انتشارًا وأكثر شيوعًا" ، كما أن البرامج الضارة التي تنتج عنها تزداد قوة بالنسبة لها.
إلى أي مدى يجب أن تقلق الشركات بشأن HinataBot؟
بقدر ما قد يكون HinataBot مخيفًا ، فقد يكون هناك جانب مشرق.
HinataBot ليس ببساطة أكثر كفاءة من Mirai - إنه يجب أن تكون أكثر كفاءة لأنها تعمل بأقل.
يقول سيمان: "نقاط الضعف التي ينتشر من خلالها ليست جديدة أو جديدة". يستفيد HinataBot من نقاط الضعف ومواجهات التطرف العنيف المعروفة بالفعل لمجتمع الأمان والتي تستخدمها شبكات الروبوت الأخرى. إنها بيئة مختلفة تمامًا عن تلك التي كانت ميراي تعمل فيها في حوالي 2016-17 ، عندما كانت ثغرات إنترنت الأشياء جديدة ولم يكن أمان الأجهزة في قمة اهتماماتها.
يقول سيمان: "لا أعتقد أننا سنرى حالة ميراي أخرى ، ما لم يبدعوا في كيفية توزيعهم وتقنيات العدوى الخاصة بهم". "لن نشهد 70,000 أو 100,000 عقدة أخرى ، مثل تهديد Mirai من مؤلفي Hinata في ظل تكتيكاتهم وتقنياتهم وإجراءاتهم الحالية".
قد يلاحظ مراقب أقل تفاؤلاً أنه ، لكونه يبلغ من العمر شهرين فقط الآن ، هناك متسع من الوقت لـ HinataBot لتحسين نقاط ضعفها المحدودة. "قد تكون مجرد مرحلة تمهيدية ، أليس كذلك؟" يشير بحار. "إنهم يمسكون بالفاكهة المعلقة المنخفضة حتى الآن ، دون الحاجة إلى الخروج والقيام بأي شيء جديد حقًا حتى الآن."
لا أحد يستطيع حتى الآن تحديد حجم هذه الروبوتات ، أو بأي الطرق ستتغير بمرور الوقت. في الوقت الحالي ، لا يسعنا إلا الاستعداد لما نعرفه - أن هذه أداة قوية جدًا ، تعمل عبر القنوات المعروفة وتستغل نقاط الضعف المعروفة.
يلاحظ لاري كاشدولار ، المؤلف الثالث للتقرير: "لا يوجد شيء يفعلونه داخل حركة المرور يتحايل على الضوابط الأمنية التي وضعناها بالفعل". "المآثر قديمة. لا توجد أيام صفر. لذا ، كما هو الحال ، فإن مبادئ الأمان الأساسية للدفاع ضد هذا النوع من التهديد "- سياسات كلمات المرور القوية ، والترقيع الواجبة ، وما إلى ذلك -" هي نفسها. ما زالت كافية ".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/mirai-hackers-golang-bigger-badder-ddos-botnet
