27/03/25
В сентябре специалисты NSFOCUS зафиксировали активность нового ботнета GorillaBot. Основанный на коде Mirai, он за три недели успел провести более 300 тысяч атак в 100 странах. Несмотря на использование старой архитектуры, вредоносное ПО обзавелось новыми механизмами сокрытия, подтверждения и маскировки, что делает его сложной угрозой для обнаружения и анализа, пишет Securitylab.
Как выяснили исследователи ANY.RUN, основной функционал GorillaBot базируется на прямом TCP-взаимодействии с управляющим сервером, где данные шифруются с помощью собственного алгоритма, схожего с XTEA. Вместо обычных HTTP-запросов ботнет использует «сырые» TCP-сокеты и динамически расшифровывает IP-адреса C2-серверов, исключая статический анализ.
Особое внимание уделено защите от анализа. Вредонос проверяет системный файл /proc/self/status, чтобы определить наличие отладчика, и реагирует на сигнал SIGTRAP, завершая выполнение. Кроме того, GorillaBot определяет окружение запуска: проверяет наличие виртуальной файловой системы /proc и анализирует файл /proc/1/cgroup в поиске признаков контейнеров, таких как Kubernetes. Обнаружив их, ботнет прекращает работу.
Процесс аутентификации с сервером C2 начинается с обмена специальными токенами. Сначала сервер отправляет 4-байтовое значение, которое объединяется с зашифрованным массивом из 32 байт, затем хэшируется через SHA-256 — результат отправляется обратно как подтверждение подлинности. Сервер отвечает флагом «01», сигнализируя, что бот принят в сеть.
Полученные команды на атаку также передаются в зашифрованном виде. Структура пакета включает SHA-256-хэш и саму команду, зашифрованную простым шифром Цезаря. После проверки целостности данные передаются в функцию attack_parse, взятую почти без изменений из оригинального Mirai, где выбирается метод атаки и инициируется выполнение.
