Microsoft güvenlik analistlerine göre, nesnelerin İnterneti (IoT) güvenlik açıkları aracılığıyla kuruluşlara saldıran yakın zamanda keşfedilen bir botnet, kaba kuvvet ve dağıtılmış hizmet reddi (DDoS) saldırı vektörlerinin yanı sıra büyüyen cephaneliğine yeni kusurlardan yararlanma yeteneği ekledi. bulduk.
Microsoft Güvenlik Tehdit İstihbarat Merkezi’ne (MSTIC) göre, Fortinet araştırmacıları tarafından ilk kez bu ayın başlarında gözlemlenen bir kötü amaçlı yazılım olan Zerobot’a yönelik güncellemeler, tehdit gelişmeye devam ettikçe daha gelişmiş saldırıların önünü açıyor.
MSTİK bir blog gönderisinde ortaya çıktı 21 Aralık’ta tehdit aktörleri, Zerobot’u artık DDoS aracılığıyla kaynakları hedefleyebilen ve erişilemez hale getirebilen, saldırı ve daha fazla uzlaşma olasılıklarını genişleten 1.1 sürümüne güncelledi.
Araştırmacılar gönderide, “Başarılı DDoS saldırıları, tehdit aktörleri tarafından fidye ödemelerini zorla almak, diğer kötü niyetli faaliyetlerden dikkati dağıtmak veya operasyonları kesintiye uğratmak için kullanılabilir.” “Neredeyse her saldırıda, hedef bağlantı noktası özelleştirilebilir ve kötü amaçlı yazılımı satın alan tehdit aktörleri, saldırıyı hedeflerine göre değiştirebilir.”
Kaba Kuvvet ve Diğer Taktikler
Fortinet araştırmacıları, Zerobot’un biri oldukça basit, diğeri ise daha gelişmiş olan önceki iki sürümünü zaten takip etmişti. Botnet’in temel saldırı modu başlangıçta çeşitli IoT cihazlarını (D-Link, Huawei, RealTek, TOTOLink, Zyxel ve daha fazlasının ürünleri dahil) bu cihazlarda bulunan kusurlar aracılığıyla hedeflemek ve ardından ağa bağlı diğer varlıklara yayılmaktı. kötü amaçlı yazılımı yaymanın ve botnet’i büyütmenin bir yolu.
Araştırmacılar, Microsoft araştırmacılarının artık botnet’in cihazlara yönelik saldırılarında daha agresif hale geldiğini gözlemlediğini, araştırmacıların ortaya koyduğuna göre, yalnızca bilinen bir güvenlik açığından yararlanmaya çalışmak yerine, zayıf bir şekilde korunan IoT cihazlarını tehlikeye atmak için yeni bir kaba kuvvet vektörü kullanıyor.
Gönderide, “IoT cihazları genellikle internete maruz kalıyor ve yama uygulanmamış ve uygun olmayan bir şekilde güvenliği sağlanmış cihazları tehdit aktörleri tarafından sömürüye karşı savunmasız bırakıyor” diye yazdılar. “Zerobot, varsayılan veya zayıf kimlik bilgilerini kullanan güvensiz yapılandırmalara sahip savunmasız cihazlara kaba kuvvet saldırıları yoluyla yayılma yeteneğine sahiptir.”
Araştırmacılar, kötü amaçlı yazılımın, cihazlara yayılmak için 23 ve 2323 numaralı bağlantı noktalarında SSH ve telnet üzerinden IoT cihazları için sekiz yaygın kullanıcı adı ve 130 şifrenin bir kombinasyonunu kullanarak cihaz erişimi elde etmeye çalıştığını yazdı. MSTIC ekibi yalnızca gözlemlerinde, varsayılan 22 ve 23 numaralı bağlantı noktalarında çok sayıda SSH ve telnet bağlantı girişiminin yanı sıra 80, 8080, 8888 ve 2323 numaralı bağlantı noktalarında bağlantı noktalarını açıp bunlara bağlantı kurma girişimlerini tespit etti.
Genişletilmiş Güvenlik Açığı Kullanım Listesi
Ancak Zerobot, cihazlara erişmek için orijinal yolundan vazgeçmedi ve hatta bu uygulamayı genişletti. Zerobot, yeni sürümünden önce, yönlendiriciler, web kameraları, ağa bağlı depolama, güvenlik duvarları ve bir dizi tanınmış üreticinin diğer ürünleri dahil olmak üzere çeşitli cihazlarda 20’den fazla kusurdan yararlanabiliyordu.
Araştırmacılar, botnet’in artık Apache, Roxy-WI, Grandstream ve diğer platformlarda bulunan kusurlar için yedi yeni istismar eklediğini buldu.
MSTIC ayrıca, Zerobot’un kötü amaçlı yazılım ikili dosyasına dahil olmayan bilinen güvenlik açıklarına sahip cihazları tehlikeye atarak yayıldığına dair yeni kanıtlar da buldu. CVE-2022-30023Tenda GPON AC1200 yönlendiricilerinde bir komut enjeksiyon güvenlik açığı eklediler.
Zerobot’un Uzlaşma Sonrası Davranışı
Araştırmacılar ayrıca, cihaz erişimi kazandıktan sonra Zerobot’un davranışı hakkında daha fazla gözlem yaptı. Birincisi, “zero.sh” adlı genel bir komut dosyası olabilecek kötü amaçlı bir yükü hemen enjekte eder. botu indiren ve çalıştırmaya çalışan veya belirli bir mimarinin Zerobot ikilisini indiren bir komut dosyası olduğunu söylediler.
Araştırmacılar, “Farklı Zerobot ikili dosyalarını indirmeye çalışan bash betiği, mimariyi kaba kuvvetle tanımlamaya çalışır, başarılı olana kadar çeşitli mimarilerin ikili dosyalarını indirmeye ve yürütmeye çalışır.”
Zerobot kalıcılığa ulaştıktan sonra, rastgele 0 ile 255 arasında bir sayı üreterek ve bu değerden başlayarak tüm IP’leri tarayarak, internete maruz kalan ve bulaşabileceği diğer cihazları tarar.
“adlı bir işlevi kullanarak new_botnet_selfRepo_isHoneypotMicrosoft araştırmacıları, kötü amaçlı yazılımın, ağ tuzakları tarafından siber saldırıları çekmek ve tehditler ve kaynaklara erişim girişimleri hakkında bilgi toplamak için kullanılan bal küpü IP adreslerini belirlemeye çalıştığını yazdı. “Bu işlev, bu IP’lerin taranmasını engelleyen 61 IP alt ağı içerir. “
Zerobot 1.1, ARM64, MIPS ve x86_64 dahil olmak üzere çeşitli mimarileri hedefleyen komut dosyaları kullanır. Araştırmacılar ayrıca, işletim sistemine dayalı olarak farklı kalıcılık yöntemleri sergileyen Windows ve Linux cihazlarında botnet örnekleri gözlemlediler.
Kuruluşu Koruma
Fortinet araştırmacıları, kuruluşların Zerobot’tan etkilenen tüm cihazların en son sürümlerine derhal güncellenmesinin önemini vurgulamıştı. Netacea’nın geçen yıl yayınladığı bir rapora göre, işletmelerin istenmeyen botnet saldırıları nedeniyle yılda 250 milyon dolara varan kayıplar verdiği göz önüne alındığında, tehlike gerçek.
Bir kuruluşun savunmasız olup olmadığını belirlemeye yardımcı olmak için Microsoft araştırmacıları, gönderilerine Zerobot’un yararlanabileceği güncellenmiş bir CVE listesi ekledi. MSTIC ekibi ayrıca kuruluşların, Zerobot kötü amaçlı yazılım varyantlarını ve tehditle ilgili kötü niyetli davranışları algılamak için alanlar arası görünürlük ve algılama özelliklerine sahip güvenlik çözümlerini kullanmalarını tavsiye etti.
Microsoft’a göre kuruluşlar ayrıca, tüm IoT ve operasyonel teknoloji (OT) cihazlarının görünürlüğüne ve izlenmesine, tehdit algılama ve müdahaleye ve SIEM/SOAR ve genişletilmiş algılama ve yanıt (XDR) platformlarıyla entegrasyona olanak tanıyan kapsamlı bir IoT güvenlik çözümünü benimsemelidir. .
Araştırmacılar, bu stratejinin bir parçası olarak, varsayılan şifreleri güçlü olanlarla değiştirerek ve SSH’yi harici erişimden engelleyerek ve ayrıca uzaktan erişim için VPN hizmeti de dahil olmak üzere en az ayrıcalıklı erişimi kullanarak cihazlar için güvenli yapılandırmalar sağlamaları gerektiğini söyledi.
Zerobot’tan taviz vermemenin bir başka yolu da uç noktaları, çalışanların kullanabileceği uygulamaları yöneten ve yönetilmeyen çözümler için uygulama kontrolü sağlayan kapsamlı bir güvenlik çözümüyle güçlendirmektir. Bu çözüm aynı zamanda bir kuruluşun cihazlarında bekleyen kullanılmayan ve eski yürütülebilir dosyaların zamanında temizlenmesini gerçekleştirmelidir.