Wielu hakerów amatorów marzących o szybkim wzbogaceniu rzuca się na czarny rynek DDoS. Uzbrojeni w kod źródłowy Mirai wyobrażają sobie, iż mogą zarobić fortunę na wynajmowaniu sieci botnet. Rzeczywistość jest jednak brutalna – takie osoby gwałtownie się rozczarowują i rezygnują ze swoich ambitnych planów, pozostawiając po sobie serię działających zaledwie kilka dni wariantów najpopularniejszego botnetu na świecie. Jednak nasz dzisiejszy przykład – botnet Gayfemboy – jest wyjątkiem.
Gayfemboy został odkryty przez zespół XLab na początku lutego 2024 r. i pozostaje aktywny do dziś. Jego wczesne wersje nie wyróżniały się niczym szczególnym – były to po prostu pochodne Mirai zapakowane w UPX, niewykazujące żadnej innowacyjności. Stojący za botnetem programiści wyraźnie chcieli się jednak wyróżnić i wejść na wyższy poziom. Zaczęli intensywnie rozwijać swoje dzieło, między innymi poprzez modyfikowanie pakietów rejestracyjnych, eksperymentowanie z polimorficznym pakowaniem UPX, aktywną integrację luk N-day, a choćby odkrywanie exploitów 0-day, a wszystko oczywiście po to, by zwiększyć skalę infekcji Gayfemboyem.
Na początku listopada 2024 r. Gayfemboy wyewoluował, wykorzystując podatność 0-day w przemysłowych routerach Four-Faith i nieznane luki w routerach Neterbit oraz inteligentnych urządzeniach domowych Vimar do rozprzestrzeniania ładunków. To właśnie skłoniło XLab do przeprowadzenia kompleksowej analizy nowego tworu w cyberprzestrzeni.
Dowiedzieliśmy się, iż aktualnie botnet utrzymuje około 15 000 aktywnych adresów IP dziennie, a infekcje są rozproszone głównie w Chinach, Iranie, Rosji, Turcji i Stanach Zjednoczonych.
Poniżej widzimy wykres aktywności oraz mapę dystrybucji botnetu.
Źródło: blog.xlab.qianxin.comWiadomo, iż złośliwe oprogramowanie jest aktywne prawie od samego początku 2024 roku, wykorzystując arsenał ponad 20 znanych luk w zabezpieczeniach i słabe poświadczenia Telnet do początkowego dostępu. Botnet uzyskał swoją nazwę w nawiązaniu do obraźliwego terminu występującego w jego kodzie źródłowym.
Podatność w routerach Four-Faith, o której mowa, to CVE-2024-12856 (wynik CVSS: 7,2), odnosząca się do błędu wstrzykiwania poleceń systemu operacyjnego. Dotyczy modeli routerów F3x24 i F3x36 i może być z łatwością wykorzystana, szczególnie przez niezmienione domyślne poświadczenia.
Botnet korzysta też z szeregu innych, bardziej powszechnych podatności, w celu rozszerzenia swojego zasięgu. Są to na przykład: CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 i CVE-2024-8957.
Celem botnetu jest oczywiście zarobek na wynajęciach jego infrastruktury do przeprowadzania ataków DDoS na wybrane przez zamawiających cele. Ataki DDoS wykorzystujące botnet są wymierzone w setki różnych podmiotów dziennie, a aktywność osiągnęła nowy szczyt pod koniec października 2024 r. Ataki, trwające od 10 do 30 sekund, generują ruch o przepustowości około 100 Gb/s.
Poniżej trend liczby pojawiających się ataków oraz ich geograficzna dystrybucja:
Źródło: blog.xlab.qianxin.comAnaliza techniczna XLab pojawiła się kilka tygodni po tym, jak Juniper Networks ostrzegł, iż produkty Session Smart Router (SSR) z domyślnymi hasłami są celem złośliwych podmiotów. Firma Akamai ujawniła również infekcje złośliwym oprogramowaniem Mirai, wykorzystujące podatność zdalnego wykonywania kodu w rejestratorach DVR DigiEver.
DDoS stał się jedną z najczęściej wybieranych i najbardziej destrukcyjnych form cyberataków. Jego modele działania są zróżnicowane, ścieżki ataku wysoce ukryte, a sam botnet może wykorzystywać stale rozwijające się strategie i techniki, aby przeprowadzać precyzyjne ataki na różne branże i systemy. Stwarza to poważne zagrożenie dla przedsiębiorstw, organizacji rządowych i indywidualnych użytkowników.
