GorillaBot
Az ANY.RUN elemzése szerinmt a GorillaBot egy friss botnet, amely a hírhedt Mirai kódjára épül, és több mint 100 országban aktívan támad rendszereket. A NSFOCUS Global Threat Hunting csapata szerint a botnet 2024. szeptember 4. és 27. között több mint 300 000 támadási parancsot adott ki.
A GorillaBot a Mirai botnet alapvető logikáját használja, de egyedi titkosítási és elkerülési technikákkal bővült. Számos iparágat érint, beleértve a telekommunikációt, pénzügyi intézményeket és az oktatási szektort. Nyers TCP socketeket és egy egyedi XTEA-szerű titkosítást alkalmaz a parancs- és vezérlőszerverekkel (C2) való biztonságos kommunikációhoz. Képes észlelni a konténerizált vagy honeypot környezeteket, és ilyen esetekben azonnal leállítja magát.
A GorillaBot ellenőrzi a /proc/self/status fájlban a TracerPid mezőt, hogy detektálja a debuggerek jelenlétét. Ha a /proc fájlrendszer hiányzik, feltételezi, hogy honeypot környezetben fut, és azonnal kilép. A C2 szerver IP-címét egy egyedi XTEA-szerű algoritmussal dekódolja futásidőben, amely egy 128 bites, beágyazott kulcsot használ. A malware nyers TCP socketeken keresztül kommunikál a C2 szerverrel, ahol egy 4 bájtos “mágikus értéket” és egy 32 bájtos titkosított tömböt használ a bot azonosítójának vagy hitelesítési tokenjének létrehozásához. sikeres hitelesítés után a bot egy csomagot kap, amely tartalmazza a támadási célpontok adatait és az alkalmazandó támadási módszereket. Ezeket az információkat dekódolja és végrehajtja.
