Microsoft, Trickbot Trojan botnet’in, virüslü bilgisayarlarla gizlice iletişim kurmak için güvenliği ihlal edilmiş MikroTik yönlendiricileri nasıl kullandığını ortaya çıkardı.
Bankacılık kimlik bilgilerini çalmak ve fidye yazılımı yaymakla tanınan bir kötü amaçlı yazılım olan Trickbot, bir zamanlar durdurulamaz görünüyordu. Microsoft’un 2020’deki çabalarına rağmen gelişmeye devam etti. milyonlarca virüslü bilgisayarı yamalayın ve IoT’ye özel C2’ler hariç, komuta ve kontrol (C2) sunucularının çoğunu bu yılın başlarında nihayet kapanana kadar hizmet dışı bırakacak.
Şimdi Microsoft, TrickBot grubunun IoT cihazlarından, yani güvenliği ihlal edilmiş MikroTik yönlendiricilerinden nasıl yararlandığına dair ayrıntılar veriyor. Bunlar, 2018’den beri virüslü bilgisayarlarla gizlice iletişim kurmak için kullanılıyordu.
2018 yılında birçok bilgisayar korsanı MikroTik’in RouterOS yazılımında CVE-2018-14847’yi hedeflediğindegüvenlik araştırmacıları, Tickbot’un güvenliği ihlal edilmiş MikroTik yönlendiricileri kullanıyordu C2 altyapısı olarak.
Yönlendiriciler, kontrol sunucuları için kullanışlı bir araçtır çünkü standart savunmalar tarafından algılanmadan C2 ve Trickbot bulaşmış PC’ler arasında iletişime izin verirler. Microsoft güvenlik araştırmacıları cihazların altyapısında nasıl kullanıldığını şimdi tam olarak netleştirdiklerini söylüyorlar..
Trickbot, ele geçirilmiş bir parola aracılığıyla yönlendiricinin kontrolünü ele geçirdikten sonra, RouterOS’un anladığı ancak normal Linux tabanlı kabuklarda bir anlam ifade etmeyen bir dizi komut oluşturmak için RouterOS’un SSH kabuğunu kullanıyordu. SSH, güvenli olmayan bir ağ üzerinden güvenli ağ iletişimine izin vermek için tasarlanmıştır. Nihai hedef, trafiği tehlikeye atılan yönlendiriciden yeniden yönlendirmekti.
Microsoft, bu komutun, virüslü cihazdan bir sunucuya trafiği yeniden yönlendiren yeni bir ağ kuralı oluşturduğunu ve yeniden yönlendirilen trafiğin 449 numaralı bağlantı noktasından alınıp 80 numaralı bağlantı noktasına yönlendirildiğini açıklıyor.
“Söz konusu komut, NAT yönlendiricinin IP adresini yeniden yazmasını sağlayan meşru bir Ağ Adresi Çevirisi (NAT) komutudur. Bu durumda kötü amaçlı etkinlik için kullanılır. Trickbot’un 443 ve 449 numaralı bağlantı noktalarını kullandığı biliniyor ve biz bunu yapabildik. bazı hedef sunucuların geçmişte TrickBot’un C2 sunucuları olarak tanımlandığını doğrulamak için.”
“Geleneksel bilgi işlem cihazları için güvenlik çözümleri gelişmeye ve gelişmeye devam ettikçe, saldırganlar hedef ağları tehlikeye atmanın başka yollarını keşfedecekler. Yönlendiricilere ve diğer bağlı nesnelere yönelik saldırı girişimleri yeni değil ve yönetilmiyor, kolayca ağdaki en zayıf halkalar olabilirler. bu nedenle kuruluşlar, güvenlik ilkelerini ve en iyi uygulamaları uygularken bu cihazları da dikkate almalıdır.” dedi Microsoft. olup olmadığını nasıl öğreneceğiyle ilgili ayrıntılara yer verdi. yönlendiricileriniz etkilendi.
Trickbot’un kötü şöhretine ve uzun ömürlülüğüne rağmen, 2020’de yayından kaldırmada yer alan Intel 471 araştırmacıları, bu yılın Şubat ayında Trickbot kötü amaçlı yazılımının sona erdiğini ve eski geliştiricilerin BazarLoader gibi yeni kötü amaçlı yazılım ve Conti fidye yazılımı grubuna katıldı.
“Intel 471 bunu doğrulayamıyor, ancak muhtemelen Trickbot operatörleri, operasyonlarından Emotet gibi diğer platformlar lehine Trickbot kötü amaçlı yazılımını aşamalı olarak kaldırmış durumda. Sonuçta Trickbot, nispeten eski bir kötü amaçlı yazılımdır ve şimdiye kadar hiç kullanılmamıştır. önemli ölçüde güncellendi. Algılama oranları yüksek ve bot iletişimiyle ilgili ağ trafiği kolayca tanımlanabilir”, araştırmacıları yazdı.
Kaynak: “ZDNet.com”