Создав HinataBot, авторы вредоносных программ создали зверя, во много раз более эффективного, чем даже самые страшные ботнеты прошлого, с DDoS-атаками со скоростью более 3 Тбит/с.
Бывшие хакеры Mirai разработали новый ботнет, получивший название HinataBot, который может нанести гораздо больший ущерб, требуя от своих операторов гораздо меньше ресурсов, чем его предшественник.
Mirai — один из самых известных ботнетов в мире. В обращении с середины 2010-х годов он использует устройства Интернета вещей (IoT), такие как маршрутизаторы и камеры, для поражения целей с огромным объемом трафика для принудительного распределенного отказа в обслуживании (DDoS). Некоторые из его самых известных атак были совершены против французской технологической компании OVH, правительства Либерии и DNS-провайдера Dyn , атака затронула такие веб-сайты, как Twitter, Reddit, GitHub, CNN и многие другие.
Поэтому сегодня очень важна и актуальна ddos защита на предприятии.
Теперь в отчете, опубликованном 16 марта , исследователи из Akamai отметили, что HinataBot находится в разработке только с середины января. Несмотря на это, согласно первоначальным тестам, он на порядки мощнее своего предшественника, достигая более 3 Тбит/с потоков трафика.
Насколько силен ХинатаБот?
В период своего расцвета ботнет Mirai умудрялся заливать своим жертвам сотни гигабайт трафика в секунду — до 623 Гбит/с для сайта KrebsOnSecurity и почти 1 Тбит/с для OVH. Как тогда отметил OVH, эта огромная волна данных была обеспечена сетью из примерно 145 000 подключенных компьютеров , все из которых одновременно отправляли запросы в свои системы.
Чтобы оценить относительную силу HinataBot, исследователи Akamai провели 10-секундные тестовые атаки. «Если бы ботнет содержал всего 1000 узлов, — выяснили они, — результирующий поток UDP мог бы весить около 336 Гбит/с». Другими словами, имея менее 1% ресурсов, HinataBot уже был способен производить трафик, приближающийся к самым жестоким атакам Mirai.
Когда они рассмотрели, что может сделать HinataBot с 10 000 узлов — примерно 6,9% от пикового размера Mirai — результирующий трафик превысил 3,3 Тбит/с, что во много раз сильнее, чем любая атака Mirai.
«Эти теоретические возможности, очевидно, не учитывают различные типы серверов, которые будут задействованы, их соответствующую пропускную способность и аппаратные возможности и т. д., — предупреждают исследователи Akamai в отчете, — но вы поняли картину. Будем надеяться, что Авторы HinataBot переходят к новым увлечениям, прежде чем нам придется иметь дело с их ботнетом в любом реальном масштабе».
Почему хакеры выбирают Golang
Большая часть причин улучшений HinataBot сводится к тому, как он был написан.
«Большинство вредоносных программ традиционно писались на C++ и C», — объясняет Аллен Уэст, один из главных исследователей отчета. Mirai, например, был написан на C.
Однако в последние годы хакеры стали более изобретательными. «Они пытаются использовать любой новый подход, какой только могут, и эти новые языки, такие как Go, с его эффективностью и способом хранения строк, усложняют работу с людьми».
«Go» — сокращение от «Golang» — это язык программирования высокого уровня, лежащий в основе HinataBot. Он похож на C, но в некотором смысле более мощный. С Golang, объясняет Чад Симэн, еще один автор отчета, хакеры «улучшают обработку ошибок, получают управление памятью, простые многопоточные рабочие пулы и немного более стабильную платформу, которая обеспечивает некоторую скорость и производительность, которые вы будет ассоциироваться с языком C-уровня и двоичными файлами C или C++ со многими вещами, которыми им не нужно управлять».
«Это просто снижает планку технической сложности, — говорит он, — а также поднимает планку производительности, скажем, по сравнению с некоторыми другими традиционными языками».
По всем этим причинам Go стал популярным выбором для авторов вредоносных программ . Ботнеты, такие как kmsdbot , GoTrim и GoBruteForcer , являются тому примером. «Go становится все более производительным, популярным и распространенным», — говорит Симэн, и создаваемое вредоносное ПО становится все более мощным.
Насколько компаниям следует беспокоиться о HinataBot?
Каким бы страшным ни был ХинатаБот, у него может быть и светлая сторона.
HinataBot не просто более эффективен, чем Mirai — он должен быть более эффективным, потому что работает с меньшими затратами.
«Уязвимости, через которые он распространяется, не новы и не новы, — говорит Симэн. HinataBot использует слабые места и CVE, уже известные сообществу безопасности и используемые другими ботнетами. Это среда, сильно отличающаяся от той, в которой Mirai работала примерно в 2016–2017 годах, когда уязвимости IoT были новыми, а безопасность устройств не стояла на первом месте.
«Я не думаю, что мы увидим еще один случай Mirai, если только они не проявят творческий подход к тому, как они распространяют и к своим методам заражения», — говорит Симэн. «Мы не увидим еще 70 000 или 100 000… узел, угроза, подобная Мирай, от авторов Хинаты при их нынешних тактиках, методах и процедурах».
Менее оптимистичный наблюдатель может заметить, что, поскольку ХинатаБоту всего пара месяцев, у него достаточно времени, чтобы исправить свои ограниченные недостатки. «Это может быть просто вводная фаза, верно?» — отмечает Моряк. «Пока что они хватаются за низко висящие плоды, пока им не нужно выходить и делать что-то действительно новое».
Пока никто не может сказать, насколько большим станет этот ботнет или как он изменится со временем. На данный момент мы можем только подготовиться к тому, что мы знаем — это очень мощный инструмент, работающий по известным каналам и использующий известные уязвимости.
«Они не делают ничего, что могло бы обойти меры безопасности, которые мы уже установили», — отмечает Ларри Кэшдоллар, третий автор отчета. «Эксплойты устарели. Нулевых дней не существует. Таким образом, фундаментальные принципы безопасности для защиты от такого рода угроз» — надежные политики паролей, добросовестное исправление и т. д. — остаются теми же».