شرکت چیهو ۳۶۰ (.Qihoo ۳۶۰, Ltd)، در گزارشی در خصوص گونه جدیدی از بات‌نت DDoS به نام Abcbot هشدار داده است.
به گزارش مرکز مدیریت راهبردی افتا، به نقل از محققان شرکت چیهو ۳۶۰، این بات‌نت دارای قابلیت‌های کرم (Wormable Capabilities) بوده و سیستم‌های تحت Linux را جهت اجرای حملات DDoS مورد تسخیر قرار می‌دهد. این شرکت امنیتی  در مجموع شش نسخه از بات‌نت Abcbot را تا به امروز تحلیل کرده است.
در ۲۳ تیر ۱۴۰۰، متخصصان امنیتی یک فایل ELF ناشناخته را کشف کردند که پویش گسترده‌ای را جهت شناسایی سیستم‌های تحت Linux انجام می‌دهد؛ تحلیل این فایل نشان داد که پیاده‌سازی پویشگر (Scanner) مذکور با زبان برنامه‌نویسیGo انجام‌شده است. نام‌گذاری Abcbot، از مسیر منبع آن یعنی “abc-hello” الهام گرفته‌شده است.
وجود رشته “dga.go” در مسیر منبع Abcbot نشان می‌دهد که نویسندگان DGA را در نسخه‌های بعدی پیاده‌سازی خواهند کرد.
نسخه‌های اولیه بدافزار فوق بسیار ساده بودند. Abcbot در نسخه‌های ابتدایی به‌عنوان پویشگر برای نفوذ به سیستم‌های تحت Linux، از رمزهای عبور ضعیف و آسیب‌پذیری‌های روز صفر سوءاستفاده کرده و بدافزار را همانند کرم منتشر می‌کرد. باگذشت زمان،Abcbot به تکامل خود ادامه داد و همان‌طور که انتظار می‌رفت، ویژگی DGA را در نمونه‌های بعدی اضافه کرد. جدیدترین نسخه‌ها (۸ آبان ۱۴۰۰)، پایگاه‌داده‌های رایج و سرورهای WEB را هدف قرار می‌دهند.
امروزه Abcbot توانایی خود به‌روزرسانی، راه‌اندازی Webserver، اجرایی حملات DDoS و همچنین انتشار کرم‌مانند را دارد.
شرکت‌ترند میکرو (Trend Micro, Inc.) در ماه اکتبر مؤلفه‌های (Component) مورداستفاده در زنجیره حمله خانواده این بدافزار را در گزارش زیر تحلیل کرد.

https://www.trendmicro.com/en_us/research/۲۱/j/actors-target-huawei-cloud-using-upgraded-linux-malware-.html

در این گزارش به‌تفصیل حملات صورت گرفته علیه Huawei Cloud برای استخراج رمز ارز (Cryptocurrency mining) بررسی‌شده است.
این بدافزار پس از نصب بر روی سیستم هدف، اطلاعات سیستم را به سرور کنترل و فرماندهی (C۲) گزارش می‌کند و شروع به پویش درگاه‌های باز می‌کند تا دستگاه‌های دیگر را آلوده کند. این بدافزار زمانی که گردانندگان بات (botmasters) ویژگی‌های جدیدی را اضافه می‌کنند، خود را به‌روزرسانی می‌کند.
Abcbot از تابع “abc_hello_web_StartServer” برای راه‌اندازی یک WebServer در سیستم‌های آلوده استفاده می‌کند و درگاه ۲۶۸۰۰ را شنود می‌کند.
در ۲۹ مهر ۱۴۰۰، گردانندگان آن، یک به‌روزرسانی را به‌منظور افزودن روت‌کیت منبع‌باز ATK برای پشتیبانی از اجرای حملات DDoS اعمال کردند، اما با به‌روزرسانی جدید در ۸ آبان ۱۴۰۰، به‌روزرسانی قبلی کنار گذاشته شد، زیرا گردانندگان قابلیت حملات DDoS خود را پیاده‌سازی کردند.
نتایج این تحلیل حاکی از آن است که پروسه به‌روزرسانی در این شش ماه، جهت ارتقاء مداوم ویژگی‌ها نیست، بلکه توازنی بین فناوری‌های مختلف است. Abcbot به‌آرامی به تکامل می‌رسد. البته همچنان این مرحله، شکل نهایی این بات‌نت نیست، بدیهی است که در این مرحله ویژگی‌های زیادی وجود دارند که باید توسعه یابند.
مشروح گزارش شرکت چیهو ۳۶۰ در نشانی زیر قابل دریافت است:

نشانه‌های آلودگی

https://blog.netlab,۳۶۰.com/abcbot_an_evolving_botnet_en/

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)