Mirai botnet’in bir çeşidi, dağıtılmış hizmet reddi (DDoS) saldırıları da dahil olmak üzere ağ tabanlı saldırılar gerçekleştirebilen bot ağlarına popüler Linux tabanlı sunucular ve Nesnelerin İnterneti (IoT) donanımı eklemek için dört farklı cihaz güvenlik açığından yararlanıyor.
Palo Alto Networks’ün 42. Birimindeki bir ekip, IZ1H9 olarak adlandırılan değişkenin, 10 Nisan saldırısında kullanılan ve açıklardan yararlanan varyantı gözlemledi: iki komut enjeksiyon güvenlik açığı — CVE-2023-27076Tenda G103 cihazlarını etkileyen ve CVE-2023-26801LB-Link cihazlarını etkileyen; iki uzaktan kod yürütme (RCE) hatası, CVE-2023-26802DCN DCBI-Netlog-LAB’yi etkileyen ve CVE’si olmayan başka bir Zyxel cihazlarını etkiler.
Araştırmacılar, IZ1H9 varyantı esas olarak DDoS saldırılarına eğilimli görünse de, açıklardan yararlanmaların nihayetinde RCE’ye yol açabileceğinden, enfeksiyonun etkisinin potansiyel olarak daha ciddi olabileceğini söyledi.
Gerçekten de Stephen, “RCE, işletmelerin deneyimlemek istemedikleri şeyler listesinin oldukça üst sıralarında yer alıyor” diyor. Gates, güvenlik firmasında ana güvenlik konusu uzmanı Horizon3.ai, Dark Reading ile bir e-posta röportajında. “Bu, savunmasız cihazların saldırganlar tarafından kolayca, genellikle uzun süreler boyunca tamamen ele geçirildiği ve sonunda kalıcı tehditler haline geldiği anlamına geliyor.”
Şunu ekliyor: “Hiçbir kuruluş, ağlarındaki IoT cihazlarının başkalarına, hatta bu faaliyet hakkında hiçbir bilgisi olmadan kendilerine saldırmak için kullanılmasını istemez.”
Unit 42 araştırmacıları, IZ1H9’un Kasım 2021’den bu yana birden fazla saldırıda bir tehdit aktörü veya aynı aktör grubu tarafından kullanıldığını gözlemlediler, ancak kötü amaçlı yazılım 2018’den beri bir şekilde ortalıkta dolaşıyordu.
Yakın tarihli çok sayıda saldırı için aynı aktöre atfedilmeleri, olaylarda kullanılan neredeyse aynı kötü amaçlı yazılım kabuğu komut dosyası indiricileri de dahil olmak üzere çeşitli faktörler tarafından desteklenmektedir. Ayrıca botnet örnekleri, neredeyse aynı işlevleri kullanan saldırılardan, hem bir XOR şifre çözme anahtarını hem de aynı altyapıyı paylaştıklarını keşfetti.
IZ1H9 Siber Saldırılar ve Kötü Amaçlı Yazılım Analizi
10 Nisan saldırısında, saldırganlar IP 163.123.143’ten bir kabuk komut dosyası indiricisi lb.sh’yi indirmeye ve çalıştırmaya çalışırken, araştırmacılar tehdit avlama sistemlerinden anormal trafik gözlemlediler.[.]126. Araştırmacılar, yürütülürse, kabuk betiği indiricisinin izlerini gizlemek için önce günlükleri sileceğini, ardından farklı Linux mimarilerini barındırmak için bir dizi bot istemcisini konuşlandırıp çalıştıracağını söyledi.
Saldırının son adımında, kabuk betiği indiricisi, cihazın iptable kurallarını değiştirerek SSH, telnet ve HTTP dahil olmak üzere birçok bağlantı noktasından ağ bağlantısını engeller, böylece kurban, güvenliği ihlal edilmiş cihaza uzaktan bağlanamaz ve onu kurtaramaz. , dediler.
Araştırmacılar, IZ1H9’un önce, hükümet ağları, İnternet sağlayıcıları ve büyük teknoloji şirketleri dahil olmak üzere bir IP blokları listesinin yürütülmesini önlemek için virüslü cihazın IP adresinin ağ bölümünü kontrol ettiğini söyledi.
Gates, bu davranışı uzun ömürle ilgilenen bir tehdit grubunun göstergesi olarak görüyor. “Bu, bot yöneticilerinin, uzun vadeli çalışmaya devam edebilmek ve faaliyetlerini durdurmaya odaklanabilecek olanların radarı altında kalabilmek için bu ağlardan kaçınmak istediklerini gösteriyor” diyor.
Araştırmacılar, botnet istemcisinin varlığını görünür kılmak için konsola “Darknet” kelimesini yazdırdığını ve cihazın kötü amaçlı yazılımın yalnızca bir örneğini çalıştırmasını sağlayan bir işlev içerdiğini söyledi. Halihazırda bir botnet işlemi varsa, botnet istemcisi mevcut işlemi sonlandırır ve yenisini başlatır.
Araştırmacılar, botnet istemcisinin ayrıca diğer Mirai varyantlarına ve diğer botnet kötü amaçlı yazılım ailelerine ait işlem adlarının bir listesini içerdiğini ve virüs bulaşmış ana bilgisayarda çalışan işlem adlarını sonlandırmak için kontrol ettiğini söyledi.
Mirai-Variant Botnet Tehditini Azaltma
Mirai, 2016 yılında kaynak kodunun sızdırılmasından bu yana, kötü şöhretli bir şekilde, çeşitli cihazlarda saldırı gerçekleştirmek için dokuz güvenlik açığından yararlanabilen ve bir diğeri, 30’a kadar yararlanabilen BotenaGo da dahil olmak üzere bir dizi varyant üretti. araştırmacılar, altyapılarında güvenlik açığı bulunan cihazlara sahip herkesin, mümkün olduğunda mevcut yamaları uygulamak için bunları yazılımın en son sürümüyle güncellemelerini tavsiye etti.
Araştırmacılar ayrıca, kuruluşların güvenlik açığı açıklarını gerçek zamanlı olarak tespit etmek için makine öğreniminden yararlanan gelişmiş güvenlik duvarı ve tehdit korumasının yanı sıra komut ve kontrol alanlarını ve kötü amaçlı yazılım barındıran URL’leri engellemek için gelişmiş URL filtreleme ve DNS güvenliği ile ağlarını koruyabileceğini söyledi. .
Ayrıca Gates, halka açık cihazlarda 80 (HTTP), 22 (SSH) ve 23 (TELNET) bağlantı noktalarının engellenmesinin bu tür saldırıları hafifletmek için çok kolay olması gerektiğini belirtiyor.
“İnternet’ten tamamen erişilebilir olmasalar bile, bu bağlantı noktalarından birini herhangi bir cihazda asla açık bırakmazdım” diyor. “Kuruluşlar onları erişilebilir bıraktığında, doğrudan botnet sorununa katkıda bulunuyorlar.”
Gates, bu senaryoyu düzeltmeyle ilgili önemli bir sorunun, IoT cihaz üreticilerinin bu bağlantı noktalarını cihazlarda genellikle montaj hattından hemen sonra açık bırakmalarıdır ki bu “tamamen ihmal”dir, diyor Gates. Aslında, “bu IoT üreticilerini cihazlarının botnet’e bulaşmasından ve ardından başkalarına saldırmak için kullanılmasından sorumlu tutacak” uluslararası bir yönetim organı olması gerektiğine inanıyor.
“Üreticilerin ürettikleri ve başkalarına sattıkları cihazların güvenliğini sağlamalarının tek yolu bir tür ceza gibi görünüyor.”