O GorillaBot é uma nova botnet que eleva o patamar das ameaças cibernéticas, utilizando a estrutura base do Mirai e incorporando técnicas avançadas de furtividade e criptografia.
Em um curto período de apenas três semanas, ela já executou mais de 300.000 ataques em 100 diferentes países.
Um ponto de distinção é seu uso de soquetes TCP brutos, em contrapartida às requisições HTTP tradicionais, o que torna sua detecção um desafio maior.
A novidade não para por aí: os endereços de seus servidores de controle (C2) são criptografados de forma dinâmica, complicando análises estáticas.
Os dados que circulam entre o bot e o servidor são blindados por um algoritmo que guarda semelhança com o XTEA, potencializando sua segurança.
Em um contexto onde a segurança cibernética se torna cada vez mais crítica, o bloqueio da utilização do software pela Cellebrite na Sérvia, bem como a correção de 100 vulnerabilidades pela Siemens, são notícias que se destacam.
No que tange à autenticação com o servidor C2, o procedimento se dá através de um token de 4 bytes, que, ao ser mesclado a uma matriz criptografada de 32 bytes, resulta em um hash SHA-256.
Este hash é a chave de comunicação com o servidor, que, se reconhecido, é respondido com um sinalizador de conexão estabelecida.
As ordens de ataque são enviadas de forma camuflada, por meio da combinação de SHA-256 com a Cifra de César, garantindo um nível adicional de segurança até que cheguem à função attack_parse, essa mantendo grande similaridade com a original do Mirai.
O GorillaBot emprega métodos refinados para se esquivar de análises.
Realiza verificações no arquivo /proc/self/status para identificar a presença de depuradores, encerrando sua operação imediatamente caso algum seja encontrado.
Estende suas cautelas ao analisar /proc/1/cgroup, a fim de identificar se está operando sob condições virtualizadas, como em ambientes Kubernetes, desligando-se automaticamente ao detectar a presença de uma máquina virtual.
Esse nível de discrição se estende a ambientes de análise, onde pode alterar seu comportamento para complicar ainda mais investigações.
Mesmo que o GorillaBot retome conceitos de malwares previamente analisados, ele configura-se como uma ameaça real e vigente, demonstrando a habilidade de reinvenção e persistência das botnets.
Essa evolução contínua no panorama das ameaças cibernéticas sublinha a importância crítica de desenvolver defesas que sejam, igualmente, dinâmicas e adaptáveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...