بات‌نت HTTPBot بیش از ۲۰۰ حمله DDoS را علیه بخش‌های بازی و فناوری به‌راه انداخت!

پژوهشگران امنیت سایبری بدافزار بات‌نت جدیدی به نام HTTPBot را شناسایی کردند که عمدتا صنعت بازی، شرکت‌های حوزه تکنولوژی و مؤسسات آموزشی در چین را هدف قرار داده است.

گزارش‌ها نشان می‌دهد این بات‌نت در ماه‌های اخیر به‌صورت تهاجمی گسترش یافته و از دستگاه‌های آلوده برای اجرای حملات خارجی استفاده کرده است. این بدافزار با بهره‌گیری از حملات HTTP Flood شبیه‌سازی‌شده و تکنیک‌های پویا مبهم‌سازی، مکانیزم‌های شناسایی مبتنی بر قوانین و روشهای سنتی را دور می‌زند.

HTTPBot، که اولین‌بار در آگوست ۲۰۲۴ در محیط واقعی شناسایی شد، به دلیل استفاده از پروتکل‌های HTTP برای اجرای حملات انکار سرویس توزیع‌شده (DDoS) نام‌گذاری شده است. این بدافزار که با زبان Golang نوشته‌شده، به‌طور خاص سیستم‌عامل ویندوز را هدف قرار داده و از این جهت نسبتا نادر است.

این بات‌نت به دلیل حملات بسیار دقیق به رابط‌های کاربری حیاتی کسب‌وکار، مانند سیستم‌های ورود و پرداخت در صنعت بازی، توجه ها را به خود جلب کرده است. این حملات با دقت بالا، تهدیدی جدی برای صنایعی ایجاد می‌کنند که به تعاملات بلادرنگ وابسته‌اند و نشان‌دهنده تغییر رویکرد حملات DDoS از ترافیک انبوه به خفه‌سازی هدفمند کسب‌وکارهاست.

برآوردها حاکی از آن است که از آوریل ۲۰۲۵، HTTPBot حداقل ۲۰۰ دستور حمله صادر کرده که علاوه بر صنعت بازی، شرکت‌های حوزه تکنولوژی ، مؤسسات آموزشی و پرتال‌های گردشگری در چین را هدف قرار داده‌اند.

روش حمله بات‌نت HTTPBot

پس از نصب، این بدافزار رابط گرافیکی(GUI) خود را مخفی می‌کند تا از دید کاربران و ابزارهای امنیتی پنهان بماند و با دستکاری رجیستری ویندوز، اجرای خودکار را در هنگام راه‌اندازی سیستم تضمین می‌کند. سپس با سرور فرمان و کنترل (C2) ارتباط برقرار کرده و منتظر دستورات برای اجرای حملات HTTP Flood با ارسال حجم بالایی از درخواست‌های HTTP می‌ماند.

HTTPBot از ماژول‌های حمله متعددی پشتیبانی می‌کند:

• BrowserAttack: استفاده از نمونه‌های مخفی مرورگر Google Chrome برای شبیه‌سازی ترافیک معتبر و مصرف منابع سرور.
• HttpAutoAttack: بهره‌گیری از کوکی‌ها برای تقلید دقیق نشست‌های معتبر.
• HttpFpDlAttack: استفاده از پروتکل HTTP/2 برای افزایش بار پردازشی با واداشتن سرور به ارسال پاسخ‌های بزرگ.
• WebSocketAttack: بهره‌برداری از پروتکل‌های ws:// و wss:// برای ایجاد ارتباط WebSocket.
• PostAttack: استفاده از متد HTTP POST برای اجرای حمله.
• CookieAttack: افزودن پردازش کوکی‌ها بر اساس روش BrowserAttack.

پژوهشگران گزارش دادند که برخلاف بات‌نت‌های DDoS که معمولا پلتفرم‌های لینوکس و دستگاه‌های IoT را هدف قرار می‌دهند، HTTPBot به‌طور خاص بر ویندوز تمرکز دارد. این بدافزار با شبیه‌سازی عمیق لایه‌های پروتکل و تقلید رفتار مرورگرهای واقعی، دفاع‌های مبتنی بر صحت پروتکل را دور می‌زند. همچنین با استفاده از مسیرهای تصادفی URL و مکانیزم‌های جایگزینی کوکی، منابع نشست سرور را بدون وابستگی به حجم ترافیک بالا، به‌طور مداوم اشغال می‌کند.

منابع: