Analis keamanan Akamai baru-baru ini mengidentifikasi botnet baru berbasis Golang yang disebut HinataBot. Selain itu, HinataBot ditemukan mengeksploitasi kerentanan yang diketahui di router dan server untuk mendapatkan akses tidak sah dan meluncurkan serangan DDoS.
Awal tahun ini, para peneliti menemukan botnet baru yang telah beroperasi selama beberapa waktu. Meskipun HinataBot menargetkan router dan server berikut:
- Realtek SDK devices
- Huawei HG532 routers
- Hadoop YARN servers
Pada malware binernya diambil dari karakter serial anime populer Naruto. SIRT Akama menemukan HinataBot di HTTP dan SSH honeypot mengeksploitasi kerentanan yang telah lama diketahui yakni:
- CVE-2014-8361
- CVE-2017-17215
DISTRIBUSI
Pada pertengahan Januari 2023, biner Mirai didistribusikan oleh operator HinataBot yang pertama kali muncul. Dan diduga Botnet HinataBot sedang dalam pengembangan aktif, dengan beberapa peningkatan dan fitur baru ditambahkan pada Maret 2023.
Sudah dikonfirmasi oleh para peneliti keamanan siber Akamai selama analisis kampanye aktif mereka,dan menerima sejumlah besar sampel botnet.
Beberapa serangan disebabkan oleh kerentanan yang belum ditambal dan kredensial yang lemah, yang memberikan titik masuk yang mudah bagi penyerang tanpa menggunakan taktik terbaru.
Botnet HinataBot telah aktif sejak Desember 2022. Pada 11 Januari 2023, mereka mulai menggunakan malware khusus mereka sendiri untuk menyerang setelah serangan pertama menggunakan malware berbasis Go yang populer yakni varian Mirai.
Para ahli belum mendeteksi serangan yang sebenarnya karena C2 saat ini sedang down. Pelacak belum terhubung. Namun, proses untuk ini saat ini sedang berlangsung.
Tujuan utama para peneliti adalah untuk dapat memantau secara dekat apakah mereka akan diaktifkan kembali di masa yang akan datang.
KEMAMPUAN DDoS
Sejumlah fungsi yang sangat penting terungkap selama analisis. Tiga fungsi serangan yang berbeda sangat menarik perhatian, dibawah ini disebutkan beberapa fungsi serangan:
- sym.main.startAttack
- sym.main.http_flood
- sym.main.udp_flood
Skrip infeksi dan RCE payloads untuk 2 CVE yang sudah diketahui mereka gunakan untuk mendistribusikan malware melalui serangan brute-force pada titik akhir SSH.
 |
Setelah perangkat terinfeksi, malware diam-diam berjalan, menunggu instruksi perintah server dan kontrol untuk dieksekusi.
Untuk mengamati aksi HinataBot dan menyimpulkan kemampuan serangan malware, analis Akamai merancang C2 mereka sendiri dan berinteraksi dengan simulasi infeksi.
Di bawah ini, kami telah menyebutkan banjir yang didukung oleh HinataBot versi lama:-
- HTTP floods
- UDP floods
- ICMP floods
- TCP floods
Sedangkan untuk HinataBot versi baru, hanya HTTP dan UDP Floods yang menjadi target utamanya. Namun, botnet tersebut dapat melakukan serangan DDoS yang sangat kuat bahkan hanya dengan dua mode serangan.
Mungkin jika dipertimbangkan ada lebih dari 10.000 bot dalam satu serangan, Serangan membanjirkan traffic UDP dapat memuncak lebih dari 3,3 Tbps, menjadikannya serangan yang kuat. Ada perbedaan antara perintah serangan HTTP dan serangan UDP.
Ada kisaran 484 hingga 589 byte dalam ukuran paket HTTP. Banyak byte kosong disertakan dalam paket UDP yang dihasilkan oleh HinataBot, yang dapat membanjiri target dengan jumlah lalu lintas yang signifikan.
 |
Kedua metode tersebut menggunakan pendekatan yang berbeda untuk mencapai hasil yang sama; Banjirnya (Flood) HTTP menghasilkan lalu lintas yang padat ke situs web, sedangkan banjir UDP mengirim sampah (trash) ke target.
Dan menghasilkan 20.430 permintaan (request) dengan total 3,4MB untuk serangan HTTP; Akamai membandingkan botnet dalam serangan 10 detik untuk HTTP dan UDP. Banjir UDP menghasilkan 421 MB data, sekitar 6.733 paket.
Masih ada ruang untuk perbaikan di Botnet HinataBot, dan kemungkinan akan menerapkan eksploit tambahan dan memperluas kemampuan penargetan.
Posting Komentar