Создав HinataBot, авторы вредоносных программ создали зверя, во много раз более эффективного, чем даже самые страшные ботнеты прошлого, с DDoS-атаками со скоростью более 3 Тбит/с.

Бывшие хакеры Mirai разработали новый ботнет, получивший название HinataBot, который может нанести гораздо больший ущерб, требуя от своих операторов гораздо меньше ресурсов, чем его предшественник.

Mirai — один из самых известных ботнетов в мире. В обращении с середины 2010-х годов он использует устройства Интернета вещей (IoT), такие как маршрутизаторы и камеры, для поражения целей с огромным объемом трафика для принудительного распределенного отказа в обслуживании (DDoS). Некоторые из его самых известных атак были совершены против французской технологической компании OVH, правительства Либерии и DNS-провайдера Dyn , атака затронула такие веб-сайты, как Twitter, Reddit, GitHub, CNN и многие другие.

Поэтому сегодня очень важна и актуальна ddos защита на предприятии.

Теперь в отчете, опубликованном 16 марта , исследователи из Akamai отметили, что HinataBot находится в разработке только с середины января. Несмотря на это, согласно первоначальным тестам, он на порядки мощнее своего предшественника, достигая более 3 Тбит/с потоков трафика.

Насколько силен ХинатаБот?

В период своего расцвета ботнет Mirai умудрялся заливать своим жертвам сотни гигабайт трафика в секунду — до 623 Гбит/с для сайта KrebsOnSecurity и почти 1 Тбит/с для OVH. Как тогда отметил OVH, эта огромная волна данных была обеспечена сетью из примерно 145 000 подключенных компьютеров , все из которых одновременно отправляли запросы в свои системы.

Чтобы оценить относительную силу HinataBot, исследователи Akamai провели 10-секундные тестовые атаки. «Если бы ботнет содержал всего 1000 узлов, — выяснили они, — результирующий поток UDP мог бы весить около 336 Гбит/с». Другими словами, имея менее 1% ресурсов, HinataBot уже был способен производить трафик, приближающийся к самым жестоким атакам Mirai.

Когда они рассмотрели, что может сделать HinataBot с 10 000 узлов — примерно 6,9% от пикового размера Mirai — результирующий трафик превысил 3,3 Тбит/с, что во много раз сильнее, чем любая атака Mirai.

«Эти теоретические возможности, очевидно, не учитывают различные типы серверов, которые будут задействованы, их соответствующую пропускную способность и аппаратные возможности и т. д., — предупреждают исследователи Akamai в отчете, — но вы поняли картину. Будем надеяться, что Авторы HinataBot переходят к новым увлечениям, прежде чем нам придется иметь дело с их ботнетом в любом реальном масштабе».

Почему хакеры выбирают Golang

Большая часть причин улучшений HinataBot сводится к тому, как он был написан.

«Большинство вредоносных программ традиционно писались на C++ и C», — объясняет Аллен Уэст, один из главных исследователей отчета. Mirai, например, был написан на C.

Однако в последние годы хакеры стали более изобретательными. «Они пытаются использовать любой новый подход, какой только могут, и эти новые языки, такие как Go, с его эффективностью и способом хранения строк, усложняют работу с людьми».

«Go» — сокращение от «Golang» — это язык программирования высокого уровня, лежащий в основе HinataBot. Он похож на C, но в некотором смысле более мощный. С Golang, объясняет Чад Симэн, еще один автор отчета, хакеры «улучшают обработку ошибок, получают управление памятью, простые многопоточные рабочие пулы и немного более стабильную платформу, которая обеспечивает некоторую скорость и производительность, которые вы будет ассоциироваться с языком C-уровня и двоичными файлами C или C++ со многими вещами, которыми им не нужно управлять».

«Это просто снижает планку технической сложности, — говорит он, — а также поднимает планку производительности, скажем, по сравнению с некоторыми другими традиционными языками».

По всем этим причинам Go стал популярным выбором для авторов вредоносных программ . Ботнеты, такие как kmsdbot , GoTrim и GoBruteForcer , являются тому примером. «Go становится все более производительным, популярным и распространенным», — говорит Симэн, и создаваемое вредоносное ПО становится все более мощным.

Насколько компаниям следует беспокоиться о HinataBot?

Каким бы страшным ни был ХинатаБот, у него может быть и светлая сторона.

HinataBot не просто более эффективен, чем Mirai — он должен быть более эффективным, потому что работает с меньшими затратами.

«Уязвимости, через которые он распространяется, не новы и не новы, — говорит Симэн. HinataBot использует слабые места и CVE, уже известные сообществу безопасности и используемые другими ботнетами. Это среда, сильно отличающаяся от той, в которой Mirai работала примерно в 2016–2017 годах, когда уязвимости IoT были новыми, а безопасность устройств не стояла на первом месте.

«Я не думаю, что мы увидим еще один случай Mirai, если только они не проявят творческий подход к тому, как они распространяют и к своим методам заражения», — говорит Симэн. «Мы не увидим еще 70 000 или 100 000… узел, угроза, подобная Мирай, от авторов Хинаты при их нынешних тактиках, методах и процедурах».

Менее оптимистичный наблюдатель может заметить, что, поскольку ХинатаБоту всего пара месяцев, у него достаточно времени, чтобы исправить свои ограниченные недостатки. «Это может быть просто вводная фаза, верно?» — отмечает Моряк. «Пока что они хватаются за низко висящие плоды, пока им не нужно выходить и делать что-то действительно новое».

Пока никто не может сказать, насколько большим станет этот ботнет или как он изменится со временем. На данный момент мы можем только подготовиться к тому, что мы знаем — это очень мощный инструмент, работающий по известным каналам и использующий известные уязвимости.

«Они не делают ничего, что могло бы обойти меры безопасности, которые мы уже установили», — отмечает Ларри Кэшдоллар, третий автор отчета. «Эксплойты устарели. Нулевых дней не существует. Таким образом, фундаментальные принципы безопасности для защиты от такого рода угроз» — надежные политики паролей, добросовестное исправление и т. д. — остаются теми же».