Bill Gates botneti, sızdığı sistemlerin kontrolünü ele geçiren DDoS saldırılarında kullanılmaya devam ediyor. Akamai’in Güvenlik İstihbaratı Araştırma Ekibi’ne göre, büyük risk taşıyan bu saldırıların vektörleri, 2014 yılında bir Rus internet sitesinde yayınlanmıştı. ICMP flood, TCP flood, UDP flood, SYN flood, HTTP flood ve DNS yansıma flood’u bu vektörler arasında yer alıyor.
2015 yılının sonlarına doğru, Akamai araştırma ekibi, XOR C2’nin pasif konuma geçmesiyle saldırganların aynı hedeflere Bill Gates botneti ile DDoS saldırıları düzenlediğini fark etti. Araştırmacılar, Elknot’un kaynak koduyla çalışan bu botnetlerin giderek büyüdüğünü ve saldırılarını arttırdığını belirtiyor. Hackerlar, yüzlerce Gbps’lik SSH saldırılarında kullanılan Asya kökenli XOR botneti’yle aynı yöntemleri kullanıyor ve genellikle oyun ve eğlence sektöründeki Asyalı şirketleri hedef alıyor. Daha önceki raporlara göre ise, kötü kod ElasticSearch Java Virtual Machine açığından yararlanıyor.
İLGİLİ HABER >> DDOS SALDIRILARI YÜZDE 180 ARTTI
Yazılım konfigürasyon dosyasının şifresini kırdıktan sonra, g_GatesTypes’ın değişkenini kontrol ediyor. Dosya adının belirlediği değişkene bağlı olarak da, dört fonksiyondan birini gerçekleştiriyor.
İlk aşamalar tamamlandıktan sonra, yazılım sisteme yerleşiyor. C2 server’larıyla iletişim kuran çoklu kullanımlı MainProcess fonksiyonunu gerçekleştiriyor ve DDoS saldırılarını başlatıyor.
Yazılım virüslü makinelerden kaynak adresleri çalarken, Akamai araştırma ekibi ise kaynağın aslında yazılımın sızdığı makineler olduğunu belirtiyor. Bu karışıklık, saldırganların ağdaki bu veri trafiğini yönetememelerinden kaynaklanıyor.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
