一种新的基于Go的DDoS僵尸网络-HinataBot

一个被追踪为HinataBot的基于Golang的DDoS僵尸网络，通过利用已知的漏洞来攻击路由器和服务器。

Akamai研究人员发现了一个新的基于DDoS Golang的僵尸网络，称为HinataBot，人们观察到它利用已知缺陷来破坏路由器和服务器。

专家报告说，HinataBot自2023年初就开始分发，其运营商正在积极更新它。

“Hinata”这个名字来自流行的动漫系列火影忍者中的一个角色。

Akamai的SIRT最近在HTTP和SSH蜜罐中发现了这个新的bot，它之所以脱颖而出，是因为它的体积很大，而且在其较新的哈希值周围缺乏特定的标识。

专家捕获的样本滥用了旧漏洞和弱凭证，研究人员报告说它试图利用Realtek SDK设备(CVE-2014-8361)、华为HG532路由器 (CVE-2017-17215)上的miniigd SOAP服务中的缺陷和暴露的Hadoop YARN服务器（CVE N/A）。 

HinataBot支持多种通信方法，包括拨出和侦听传入连接。僵尸网络可以发起分布式拒绝服务(DDoS)泛洪攻击，这种攻击依赖于HTTP、UDP、TCP和ICMP等协议来发送流量。然而，最新版本的HinataBot只支持HTTP和UDP攻击。

Akamai表示，通过对僵尸程序进行逆向工程并模仿命令和控制(C2)服务器，能够在10秒内运行两种攻击方法（HTTP和UDP）来测试僵尸网络的攻击能力。

“http_flood生成了3.4 MB的数据包捕获数据并推送了20,430个HTTP请求。每个请求的请求大小从484到589字节不等，大小的变化主要是由于User-Agent和Cookie标头数据的随机化。”“udp_flood通过线路生成了6,733个数据包，总共421 MB的数据包捕获数据。这种攻击没有什么其他有趣的地方：它本质上是容积式的，而且似乎在提高音量​​方面做得不错。”

测试结果表明，仅由1,000个节点组成的僵尸网络可以执行每秒约336Gbps的UDP洪水。一个有10,000个节点的僵尸网络（大约是Mirai峰值时大小的6.9%）可以产生超过3.3Tbps的 UDP 洪水。1,000个节点的HTTP泛洪将产生大约2.7 Gbps，而对于10,000个节点，这些数字跃升至 27 Gbps。

HinataBot是继GoBruteforcer和KmsdBot之后加入不断增长的基于Go的新兴机器人列表。

“HinataBot家族依赖于旧漏洞和暴力破解弱密码进行分发。这是另一个例子，说明为什么强密码和补丁策略比以往任何时候都更加重要。”Akamai 总结道，它还针对此威胁提供了IOC指标和YARA规则。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5071.html