一個(gè)新的惡意僵尸網(wǎng)絡(luò)被發(fā)現(xiàn)，它以Realtek SDK、華為路由器和Hadoop YARN服務(wù)器為目標(biāo)，將設(shè)備引入到DDoS（分布式拒絕服務(wù)）群中，有可能進(jìn)行大規(guī)模攻擊。

這個(gè)新的僵尸網(wǎng)絡(luò)是Akamai的研究人員今年年初在自己的HTTP和SSH蜜罐上發(fā)現(xiàn)的，該僵尸網(wǎng)絡(luò)利用了CVE-2014-8361和CVE-2017-17215等漏洞。

Akamai說(shuō)，HinataBot的操作者最初分發(fā)Mirai二進(jìn)制文件，而HinataBot首次出現(xiàn)在2023年1月中旬。它以Mirai為基礎(chǔ)，是基于Go的變體。

顯著的DDoS能力

該惡意軟件通過(guò)對(duì)SSH端點(diǎn)進(jìn)行暴力攻擊或使用已知漏洞的感染腳本和RCE有效載荷進(jìn)行分發(fā)。感染設(shè)備后，惡意軟件會(huì)默默地運(yùn)行，等待來(lái)自命令和控制服務(wù)器的命令執(zhí)行。

HinataBot的舊版本支持HTTP、UDP、ICMP和TCP洪水，但較新的變體只具有前兩種。然而，即使只有兩種攻擊模式，該僵尸網(wǎng)絡(luò)也可以潛在地進(jìn)行非常強(qiáng)大的分布式拒絕服務(wù)攻擊。

攻擊函數(shù)

雖然 HTTP 和 UDP 攻擊命令不同，但它們都創(chuàng)建了一個(gè)包含 512 個(gè)工作線程（進(jìn)程）的工作線程池，這些工作線程在自定義的持續(xù)時(shí)間內(nèi)向目標(biāo)發(fā)送硬編碼數(shù)據(jù)包。

HTTP數(shù)據(jù)包的大小在484和589字節(jié)之間。而HinataBot產(chǎn)生的UDP數(shù)據(jù)包則特別大（65,549字節(jié)），由大量的空字節(jié)組成。

UDP泛濫數(shù)據(jù)包捕獲

HTTP產(chǎn)生大量的網(wǎng)站請(qǐng)求，而UDP則向目標(biāo)發(fā)送大量的垃圾流量；攻擊者通過(guò)兩種不同的方法來(lái)實(shí)現(xiàn)斷網(wǎng)。

Akamai對(duì)僵尸網(wǎng)絡(luò)的HTTP和UDP的10秒攻擊進(jìn)行了基準(zhǔn)測(cè)試，在HTTP攻擊中，惡意軟件產(chǎn)生了20,430個(gè)請(qǐng)求，總大小為3.4MB。UDP產(chǎn)生了6733個(gè)包，總大小為421MB。

研究人員估計(jì)，如果有1000個(gè)節(jié)點(diǎn)，UDP可以產(chǎn)生大約336Gbps，而在10000個(gè)節(jié)點(diǎn)，攻擊數(shù)據(jù)量將達(dá)到3.3Tbps。

在HTTP洪的情況下，1000個(gè)被捕獲的設(shè)備將產(chǎn)生每秒2000000個(gè)請(qǐng)求，而10000個(gè)節(jié)點(diǎn)將采取這個(gè)數(shù)字的20400000 rps和27 Gbps。

目前，HinataBot仍在不斷開(kāi)發(fā)中，隨時(shí)可能實(shí)施更多的漏洞并擴(kuò)大其目標(biāo)范圍。

參考鏈接：www.bleepingcomputer.com/news/security/new-hinatabot-botnet-could-launch-massive-33-tbps-ddos-attacks/