新的僵尸网络可以发起大规模3.3Tbps的DDoS攻击

发现了一种新的恶意软件僵尸网络，其目标是 Realtek SDK、华为路由器和 Hadoop YARN 服务器，以招募设备进入 DDoS（分布式拒绝服务）群，并可能发动大规模攻击。

今年年初，Akamai 的研究人员发现了这个新的僵尸网络，他们在他们的 HTTP 和 SSH 蜜罐上发现了它，发现它利用了 CVE-2014-8361 和 CVE-2017-17215 等旧漏洞。

HinataBot 的运营商最初分发的是 Mirai 二进制文件，而 HinataBot 首次出现是在 2023 年 1 月中旬。

它似乎基于 Mirai，是臭名昭著的基于 Go 的变种。

在最近于 2023 年 3 月从活跃的活动中捕获了多个样本后，Akamai 的研究人员推断该恶意软件正在积极开发中，其特点是功能改进和反分析添加。

该恶意软件通过暴力破解 SSH 端点或针对已知漏洞使用感染脚本和 RCE 负载进行分发。

感染设备后，恶意软件会悄悄运行，等待命令和控制服务器执行命令。

分析师创建了自己的 C2，并与模拟感染进行交互，以部署 HinataBot 进行 DDoS 攻击，以观察恶意软件的运行情况并推断其攻击能力。

旧版本的 HinataBot 支持 HTTP、UDP、ICMP 和 TCP 泛洪，但较新的变体仅支持前两个。

然而，即使只有两种攻击模式，僵尸网络也有可能执行非常强大的分布式拒绝服务攻击。

攻击功能

虽然 HTTP 和 UDP 攻击命令不同，但它们都创建了一个包含 512 个工作程序（进程）的工作程序池，这些工作程序池在定义的持续时间内将硬编码数据包发送到目标。

HTTP 数据包大小介于 484 和 589 字节之间。HinataBot 生成的 UDP 数据包特别大（65549 字节）并且包含空字节，能够通过大量流量压倒目标。

UDP 洪水数据包捕获

HTTP flood 产生大量网站请求，而 UDP flood 向目标发送大量垃圾流量；因此，这两种方法试图使用不同的方法实现中断。

在针对 HTTP 和 UDP 的 10 秒攻击中对僵尸网络进行了基准测试，在 HTTP 攻击中，恶意软件生成了 20430 个请求，总大小为 3.4 MB。

UDP 洪水生成了 6733 个包，总计 421 MB 的数据。

研究人员估计，在 1000 个节点的情况下，UDP 泛洪可以产生大约 336 Gbps 的流量，而在 10000 个节点的情况下，攻击数据量将达到 3.3 Tbps。

在 HTTP 泛洪的情况下，1000 个被诱捕的设备每秒将生成 2000000 个请求，而 10000 个节点将占用 20400000 rps 和 27 Gbps 的数量。

HinataBot 仍在开发中，可能随时实施更多攻击并扩大其目标范围。

此外，它的发展如此活跃这一事实增加了很快看到更强大的版本在野外传播的可能性。

这些理论上的能力显然没有考虑到参与的不同类型的服务器、它们各自的带宽和硬件能力等。

让我们希望 HinataBot 的作者在我们不得不处理他们的僵尸网络之前转移到新的爱好上。