Araştırmacılar, yeni keşfedilen bir kötü amaçlı yazılımın kripto para madenciliği yapmak, dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak ve kurumsal ağlarda bir yer edinmek için kurumsal sistemlere giriş elde etmek için İnternet’e yönelik önemli bir protokolden yararlandığını buldu.
Perşembe günü yayınlanan bir rapora göre, Akamai Security Research’teki araştırmacılar tarafından KmsdBot olarak adlandırılan botnet, sistemlere bir Güvenli Kabuk Protokolü (SSH) bağlantısı aracılığıyla zayıf oturum açma kimlik bilgileriyle bulaşıyor. SSH, kullanıcıların uzak sunucularına İnternet üzerinden erişmelerine, bunları kontrol etmelerine ve değiştirmelerine olanak tanıyan bir uzaktan yönetim protokolüdür.
Akamai’nin baş güvenlik istihbaratı yanıt mühendisi Larry Cashdollar, botnet’in bulut altyapısı dağıtan işletmeler veya İnternet’e maruz kalan kurumsal ağlar için en fazla riski oluşturduğunu söylüyor.
Dark Reading’e, “Bu kötü amaçlı yazılım sisteminizde bir kez çalıştığında, esasen ağınızda bir etkisi olur” diyor ve ekliyor: “Kendini güncelleme ve yayma işlevine sahip, bu nedenle ağınızın ve çevresindeki sistemlerin daha derinlerine inmesi mümkün. ”
Cashdollar, araştırmacıların, oyun ve teknoloji şirketleri ile lüks otomobil üreticileri de dahil olmak üzere “düzensiz” bir dizi kurbanı hedef alan, Golang’da kaçamak bir önlem olarak yazılan KmsdBot’u gözlemlediklerini yazdı. 10 Kasım raporu. Golang, araştırmacıların tersine mühendislik yapması zor olduğu için tehdit aktörleri için çekici bir programlama dilidir.
Ayrıca, bir sisteme bir kez bulaştığında, botnet kalıcılığı korumaz ve tespitten daha fazla kaçmasına izin verir. Cashdollar, “Bu tür botnetlerin, özellikle Golang’da yazılanların, aktif olarak saldırdığını ve yayıldığını sık sık görmüyoruz” dedi.
Oyun Şirketine Saldırı
Araştırmacılar, saldırganları cezbetme umuduyla alışılmadık şekilde açık bir bal küpünü salladığında KmsdBot’u tespit etti. Gözlemledikleri yeni kötü amaçlı yazılımın ilk kurbanı bir Akamai istemcisiydi. BeşM insanların çevrimiçi Grand Theft Auto için özel özel sunucuları barındırmasına izin verdiğini söylediler.
Saldırıda, tehdit aktörleri bir kullanıcı datagram protokolü (UDP) soketi açtı ve FiveM oturum belirteci kullanarak bir paket oluşturdu. UDP, video oynatma veya DNS aramaları gibi zamana duyarlı aktarımlar için İnternet üzerinden kullanılan bir iletişim protokolüdür.
Cashdollar, “Bu, sunucunun bir kullanıcının yeni bir oturum başlattığına inanmasına ve ağ bant genişliğinin yanı sıra ek kaynakları boşa harcamasına neden olacak” diye yazdı.
Araştırmacılar ayrıca, bot tarafından daha az özel olarak hedeflenen bir dizi başka saldırı da gözlemlediklerini söylediler. Yük olarak rastgele veriler içeren genel Katman 4 TCP/UDP paketlerini veya kök yola veya saldırı komutunda belirlenen belirli bir yola yönelik GET ve POST isteklerinden oluşan Katman 7 HTTP’yi içerdiğini söyledi.
Cashdollar, botun kripto madenciliği kabiliyetine sahip olmasına rağmen, araştırmacılar işlevselliğinin bu özel yönünü gözlemlemediler – sadece DDoS etkinliği, diye ekledi.
Araştırmacılar, genel olarak KmsdBot’un Winx86, Arm64, mips64 ve x86_64 dahil olmak üzere birden fazla mimariyi destekleyen geniş bir saldırı yüzeyine sahip olduğunu söyledi. Komuta ve kontrol altyapısı ile iletişim kurmak için TCP’yi kullanır.
Bot Saldırılarından Kaçınma ve Azaltma
Cashdollar, işletmeler için oluşturduğu tehlikeye rağmen, her halükarda uygulamaları gereken ortak ağ güvenliği en iyi uygulamalarını kullanarak botnet’in kurbanı olmaktan kaçınabileceklerini söylüyor.
Dark Reading’e, “Enfekte olmayı önlemenin en iyi yolu, ya anahtar tabanlı kimlik doğrulamayı kullanmak ve parola girişlerini devre dışı bırakmak ya da güçlü parolalar kullandığınızdan emin olmaktır” diyor.
Gerçekten de, ister çalınmış kimlik bilgilerini kullanarak isterse bir şirketin zayıf korumalarını kırarak olsun, parola güvenliği, tehdit aktörlerinin kurumsal sistemlere erişmesinin en iyi yollarından biri olmaya devam ediyor.
Güvenlik uzmanları, güçlü parolaların ötesinde, bu kalıcı sorunu çözmek için çok faktörlü kimlik doğrulamanın yanı sıra daha gelişmiş çözümler önermektedir. Ancak, birçok kurumsal ortamda kullanıcılar tarafından dikkate alınmayan ve ağları KmsdBot gibi tehditlere maruz bırakan bir tavsiyedir.
Cashdollar’a göre kuruluşların kendilerini korumak için atabilecekleri diğer kolay adımlar arasında, konuşlandırılmış uygulamaları en son güvenlik yamalarıyla güncel tutmak ve güvenliklerini sağlamak için zaman zaman kontrol etmek yer alıyor.