Браузър без интерфейс, бисквитки без потребител, атака без сигнал – новата ера на DDoS вече е тук
Експертите от китайската компания NSFOCUS са разкрили дейна акция на нова ботнет стратегия, наречена HTTPBot, която е ориентирана към услуги за игри, софтуерни компании и просветителни институции. През последните месеци инфектираната инфраструктура се уголемява бързо и се употребява за целенасочени офанзиви, като офанзивите не са безредни – вместо това те са ориентирани към основни бизнес системи с хирургическа акуратност.
HTTPBot се появява за първи път в „ дивата природа “ през август 2024 година. Той се отличава от другите зловредни стратегии по това, че е насочен към Windows, макар че до момента по-голямата част от ботнетите са употребявали Linux и IoT среди.
Зловредният програмен продукт е създаден на Golang и употребява HTTP протоколи за осъществяване на DDoS офанзиви, като се концентрира не върху размера на трафика, а върху качеството и правдоподобността на симулираната потребителска интензивност. Според отчета на NSFOCUS от април тази година насам HTTPBot е генерирал най-малко 200 разнообразни команди за офанзиви. Целите са били основно входни данни за игри, платежни шлюзове и бизнес услуги. Списъкът на жертвите включва също просветителни платформи и туристически портали.
Особеност на HTTPBot е потреблението на цялостен боеприпас от модули за DDoS офанзиви:
BrowserAttack – пускане на скрити екземпляри на браузъра Гугъл Chrome, с цел да се сътвори заблуда за действителна интензивност на потребителя; HttpAutoAttack – потребление на бисквитки за подражаване на действителни сесии; HttpFpDlAttack – HTTP/2 офанзива, принуждаваща сървъра да генерира отговори, изискващи доста ресурси; WebSocketAttack – потребление на ws:// и wss:// връзки; PostAttack – потребление на метода POST вместо GET, което усложнява филтрирането; CookieAttack – уголемение на BrowserAttack с генериране на данни за бисквитки.За да бъде още по-незабележим, HTTPBot маскира графичния си интерфейс, като отстранява образното си наличие в системата, и трансформира регистъра на Windows, с цел да се започва при пускане на устройството. След като бъде конфигуриран, той се свързва с контролиращия C2 сървър и чака команди, с цел да стартира офанзива.
Основната характерност на тази акция е изместването на фокуса от класическите DDoS способи, основани на груба мощ и солидни потоци от данни, към тактиката „ насочи и кликни “.
HTTPBot „ задушава “ сървърите не посредством размера на поръчките, а посредством непрекъснато завладяване на ресурсите на сесията, заблуждаване на системата на равнище протокол и подражаване на законното държание на браузърите.
Тази еволюция в метода съставлява опасност за всички промишлености, чиято работа сериозно зависи от постоянното и бързо взаимоотношение в действително време. Това важи с особена мощ за фирмите, занимаващи се с хазартни игри, където бавният достъп за влизане или сривовете в системата за заплащане могат да доведат до директни финансови загуби и всеобщо овакантяване на консуматори.
HTTPBot съставлява ново потомство принадлежности за цифров бойкот, които стават все по-усъвършенствани, скрити и разрушителни – изключително когато бизнесът продължава да зависи от онлайн услугите.
