TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
พบมัลแวร์บอตเน็ตใหม่ HinataBot มุ่งเป้าโจมตี Realtek SDK, Huawei Router และ Hadoop YARN Server เพื่อรวมการโจมตีที่อาจสร้าง Distributed Denial of Service (DDoS) ขนาด 3.3 Tbps ได้
ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Akamai ตรวจพบการโจมตีจาก HTTP และ SSH honeypots โดยพบว่ามีการใช้ช่องโหว่เก่า เช่น CVE-2014-8361 และ CVE-2017-17215 เป็นช่องทางการโจมตี หลังจากการวิเคราะห์แล้ว พบว่า HinataBot จะพยายาม Brute-forcing SSH ด้วย Script และ RCE Payload เพื่อเจาะระบบ ภายหลังจากที่เจาะระบบได้แล้ว จะรอรับคำสั่งจาก Command and Control Server (C2) ต่อไป
ใน HinataBot หนึ่งตัวรองรับการทำ HTTP, UDP, ICMP และ TCP Floods โดยสามารถสร้าง Worker pool ลักษณะ Process ขึ้นมาเพื่อส่ง Data Packet โจมตีไปยังเป้าหมายได้ โดย Akamai ได้ทดลองทำการ Benchmark การโจมตี พบว่าภายใน 10 วินาที HinataBot สามารถสร้าง Request จำนวน 20,430 request ขนาด 3.4 MB และ UDP Flood จำนวน 6,733 package ขนาด 421 MB ได้ และจากการประมาณการ HinataBot เพียง 1,000 Nodes ก็สามารถสร้างการโจมตีขนาด 3.3 Tbps ได้แล้ว
อย่างไรก็ตาม HinataBot นั้นยังอยู่ในขั้นตอนการพัฒนาและมีการปรับปรุงเทคนิคการโจมตีอยู่ตลอด ซึ่งมีโอกาสที่จะปรับเปลี่ยนรูปแบบการกระจายตัวรวมถึงพัฒนาการโจมตีรูปแบบใหม่ออกมา ผู้ดูแลระบบจึงควรสำรวจและแพตช์ระบบอย่างสม่ำเสมอเพื่อป้องกันการตกเป็นเครื่องมือในการโจมตี DDoS จากบอตเน็ตตัวนี้ โดยสามารถสร้าง Rules การตรวจจับจาก IOCs ได้ตามลิ้งด้านล่าง
https://www.akamai.com/blog/security-research/hinatabot-uncovering-new-golang-ddos-botnet
