一個新的惡意僵尸網(wǎng)絡(luò)被發(fā)現(xiàn)，它以Realtek SDK、華為路由器和Hadoop YARN服務(wù)器為目標，將設(shè)備引入到DDoS（分布式拒絕服務(wù)）群中，有可能進行大規(guī)模攻擊。

這個新的僵尸網(wǎng)絡(luò)是Akamai的研究人員今年年初在自己的HTTP和SSH蜜罐上發(fā)現(xiàn)的，該僵尸網(wǎng)絡(luò)利用了CVE-2014-8361和CVE-2017-17215等漏洞。

Akamai說，HinataBot的操作者最初分發(fā)Mirai二進制文件，而HinataBot首次出現(xiàn)在2023年1月中旬。它以Mirai為基礎(chǔ)，是基于Go的變體。

顯著的DDoS能力

該惡意軟件通過對SSH端點進行暴力攻擊或使用已知漏洞的感染腳本和RCE有效載荷進行分發(fā)。感染設(shè)備后，惡意軟件會默默地運行，等待來自命令和控制服務(wù)器的命令執(zhí)行。

HinataBot的舊版本支持HTTP、UDP、ICMP和TCP洪水，但較新的變體只具有前兩種。然而，即使只有兩種攻擊模式，該僵尸網(wǎng)絡(luò)也可以潛在地進行非常強大的分布式拒絕服務(wù)攻擊。

攻擊函數(shù)

雖然 HTTP 和 UDP 攻擊命令不同，但它們都創(chuàng)建了一個包含 512 個工作線程（進程）的工作線程池，這些工作線程在自定義的持續(xù)時間內(nèi)向目標發(fā)送硬編碼數(shù)據(jù)包。

HTTP數(shù)據(jù)包的大小在484和589字節(jié)之間。而HinataBot產(chǎn)生的UDP數(shù)據(jù)包則特別大（65,549字節(jié)），由大量的空字節(jié)組成。

UDP泛濫數(shù)據(jù)包捕獲

HTTP產(chǎn)生大量的網(wǎng)站請求，而UDP則向目標發(fā)送大量的垃圾流量；攻擊者通過兩種不同的方法來實現(xiàn)斷網(wǎng)。

Akamai對僵尸網(wǎng)絡(luò)的HTTP和UDP的10秒攻擊進行了基準測試，在HTTP攻擊中，惡意軟件產(chǎn)生了20,430個請求，總大小為3.4MB。UDP產(chǎn)生了6733個包，總大小為421MB。

研究人員估計，如果有1000個節(jié)點，UDP可以產(chǎn)生大約336Gbps，而在10000個節(jié)點，攻擊數(shù)據(jù)量將達到3.3Tbps。

在HTTP洪的情況下，1000個被捕獲的設(shè)備將產(chǎn)生每秒2000000個請求，而10000個節(jié)點將采取這個數(shù)字的20400000 rps和27 Gbps。

目前，HinataBot仍在不斷開發(fā)中，隨時可能實施更多的漏洞并擴大其目標范圍。

參考鏈接：www.bleepingcomputer.com/news/security/new-hinatabot-botnet-could-launch-massive-33-tbps-ddos-attacks/