GorillaBot Botnet IOCs

Ботнет GorillaBot направлен на широкий спектр отраслей, включая телекоммуникации, финансовые учреждения и образовательную сферу. Он использовал более 300 000 атак в более чем 100 странах. GorillaBot использует различные методы шифрования и уклонения, такие как необработанные TCP-сокеты, собственный шифр XTEA-подобный для безопасной связи с командно-контрольными (C2) серверами. Ботнет обладает средствами защиты от отладки и анализа, что позволяет завершить работу в контейнерных средах или honeypot.

GorillaBot аутентифицирует свое подключение к C2-серверу с помощью токена на основе SHA-256, генерируемого из жестко закодированного массива и предоставляемого сервером значения. Атакующие команды кодируются и хэшируются, а затем передаются в функцию attack_parse в стиле Mirai.

Ботнет проверяет на наличие отладочных инструментов, используя функцию обратного вызова, которая приостанавливает работу при получении сигнала SIGTRAP. Он также проводит проверку окружения для определения, работает ли он на реальной целевой машине или в honeypot или контейнере.

GorillaBot использует различные методы шифрования и дешифрования для маскировки ключевых строк и скрытия внутренних конфигурационных данных. Исследователи обнаружили, что для расшифровки строк GorillaBot использует шифр Цезаря со сдвигом на 3, а также собственный блочный шифр. Ботнет использует необработанные TCP-сокеты для связи с C2-сервером, используя алгоритм XTEA для шифрования и дешифрования данных.

В целом, GorillaBot представляет серьезную киберугрозу, которая требует срочного реагирования и митигации. Его использование кода Mirai и добавление собственных методов шифрования и уклонения делают его опасным инструментом для проведения масштабных кибератак по различным отраслям.

IPv4

• 193.143.1.59

URLs

• http://193.143.1.70

SHA256

• b482c95223df33f43b7cfd6a0d95a44cc25698bf752c4e716acbc1ac54195b55