Gorilla-Botnetz

Cybersicherheitsforscher haben eine neue Familie von Botnet-Malware namens Gorilla (oder GorillaBot) identifiziert, die auf dem offengelegten Quellcode des Mirai-Botnets basiert.

Laut den Experten, die diese Aktivität überwachen, führte das Gorilla-Botnetz innerhalb eines bemerkenswert kurzen Zeitraums mehr als 300.000 Angriffsbefehle aus, wobei die Angriffsrate im September 2024 erstaunlich hoch war. Im Durchschnitt startete das Botnetz täglich rund 20.000 Befehle, die speziell darauf abzielten, Distributed-Denial-of-Service-Angriffe (DDoS) durchzuführen.

Über 100 Länder im Visier von DDoS-Angriffen

Das Botnetz soll über 100 Länder im Visier gehabt haben und Angriffe gegen Universitäten, Regierungswebsites, Telekommunikationsunternehmen, Banken sowie die Spiel- und Glücksspielbranche gestartet haben. Zu den am stärksten betroffenen Ländern zählen China, die USA, Kanada und Deutschland.

Experten zufolge verwendet Gorilla für seine DDoS-Angriffe hauptsächlich Methoden wie UDP-Flood, ACK BYPASS-Flood, Valve Source Engine (VSE)-Flood, SYN-Flood und ACK-Flood. Die verbindungslose Natur des UDP-Protokolls ermöglicht das Spoofing beliebiger Quell-IPs, was zu einem erheblichen Datenverkehr führt.

Zusätzlich zur Unterstützung mehrerer CPU-Architekturen, darunter ARM, MIPS, x86_64 und x86, verfügt das Botnetz über die Fähigkeit, eine Verbindung zu einem von fünf vordefinierten Command-and-Control (C2)-Servern herzustellen, um DDoS-Befehle zu empfangen.

Ausnutzung von Schwachstellen und Persistenzmechanismus

Eine bemerkenswerte Entwicklung ist, dass die Malware Funktionen enthält, um eine Sicherheitslücke in Apache Hadoop YARN RPC auszunutzen, was ihr eine Remote-Codeausführung ermöglicht. Dieser spezielle Fehler wird seit mindestens 2021 in freier Wildbahn ausgenutzt.

Um die Persistenz auf dem Host sicherzustellen, erstellt die Malware eine Servicedatei namens custom.service im Verzeichnis /etc/systemd/system/, die so konfiguriert ist, dass sie beim Systemstart automatisch ausgeführt wird. Dieser Service hat die Aufgabe, ein Shell-Skript namens lol.sh von einem Remote-Server (pen.gorillafirewall.su) herunterzuladen und auszuführen. Zusätzlich werden ähnliche Befehle in die Dateien /etc/inittab, /etc/profile und /boot/bootcmd eingefügt, um das Herunterladen und Ausführen des Shell-Skripts beim Systemstart oder bei der Benutzeranmeldung zu erleichtern.

Die Malware verwendet verschiedene DDoS-Angriffsmethoden und verwendet Verschlüsselungsalgorithmen, die von der Keksec-Gruppe häufig verwendet werden, um wichtige Informationen zu verschleiern. Sie nutzt außerdem mehrere Techniken, um die langfristige Kontrolle über IoT-Geräte und Cloud-Hosts aufrechtzuerhalten, was auf ein ausgeprägtes Bewusstsein für Gegenerkennungsmaßnahmen hinweist, die für neu entstehende Botnet-Familien typisch sind.

Einige Sicherheitsforscher gehen davon aus, dass die Gorilla-Botnet-Malware nicht ganz neu ist und bereits seit über einem Jahr aktiv ist.