Yeni bir çoklu platform tehdidi NKAistismar olarak bilinen merkezi olmayan, eşler arası ağ bağlantı protokolü kullanılarak keşfedildi. NKN (Yeni Tür Ağ’ın kısaltması) bir iletişim kanalı olarak.
Rus siber güvenlik şirketi Kaspersky, “Kötü amaçlı yazılım, eşler arasında veri alışverişi için NKN teknolojisini kullanıyor, güçlü bir implant görevi görüyor ve hem baskın hem de arka kapı özellikleriyle donatılmış.” söz konusu Perşembe günü yayınlanan bir raporda.
62.000’den fazla düğüme sahip olan NKN, tarif edildi “Kullanıcıların kullanılmayan bant genişliğini paylaşmasına ve jeton ödülleri kazanmasına olanak tanıyan, günümüz İnternetinin üzerine inşa edilmiş bir yazılım yer paylaşımı ağı.” Mevcut TCP/IP yığınının üstünde bir blockchain katmanı içerir.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Tehdit aktörlerinin komuta ve kontrol (C2) amacıyla yeni ortaya çıkan iletişim protokollerinden yararlandığı ve tespitten kaçtığı bilinirken, NKAbuse, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek ve güvenliği ihlal edilmiş sistemler içinde bir implant işlevi görmek için blockchain teknolojisinden yararlanıyor .
Özellikle bot yöneticisiyle konuşmak ve komutları almak/göndermek için protokolü kullanır. Kötü amaçlı yazılım Go programlama dilinde uygulanıyor ve kanıtlar bunun öncelikle IoT cihazları da dahil olmak üzere Linux sistemlerini ayırmak için kullanıldığına işaret ediyor.
Saldırıların ne kadar yaygın olduğu şu anda bilinmiyor ancak Kaspersky tarafından tespit edilen bir örnek, Apache Struts’taki (CVE-2017-5638, CVSS puanı: 10,0) altı yıllık kritik bir güvenlik açığının, isimsiz bir finans şirketine sızmak için kullanılmasını içeriyor. .
Başarılı bir şekilde yararlanmanın ardından, implantın uzak bir sunucudan indirilmesinden sorumlu olan bir ilk kabuk komut dosyasının teslim edilmesi gelir, ancak bu, hedef ana bilgisayarın işletim sistemini kontrol etmeden önce gerçekleşmez. Kötü amaçlı yazılımı barındıran sunucu, çeşitli CPU mimarilerini desteklemek için NKAbuse’un sekiz farklı sürümünü barındırıyor: i386, arm64, arm, amd64, mips, mipsel, mips64 ve mips64el.
Bir başka dikkate değer husus, kendi kendine yayılma mekanizmasının bulunmamasıdır; bu, kötü amaçlı yazılımın, güvenlik açıklarından yararlanılması gibi başka bir başlangıç erişim yolu yoluyla hedefe iletilmesi gerektiği anlamına gelir.
Kaspersky, “NKAbuse, yeniden başlatmalarda hayatta kalabilmek için cron işlerinden yararlanıyor” dedi. “Bunu başarmak için root olması gerekiyor. Mevcut kullanıcı kimliğinin 0 olup olmadığını kontrol ediyor ve eğer öyleyse, her yeniden başlatmada kendisini ekleyerek mevcut crontab’ı ayrıştırmaya devam ediyor.”
NKAbuse ayrıca bot yöneticisine periyodik olarak sistem hakkında bilgi içeren bir kalp atışı mesajı göndermesine, mevcut ekranın ekran görüntülerini yakalamasına, dosya işlemlerini gerçekleştirmesine ve sistem komutlarını çalıştırmasına olanak tanıyan çok sayıda arka kapı özelliği içerir.
Kaspersky, “Bu özel implant, bir botnet’e entegrasyon için titizlikle hazırlanmış gibi görünüyor, ancak belirli bir ana bilgisayarda arka kapı olarak çalışmaya uyum sağlayabiliyor” dedi. “Ayrıca, blockchain teknolojisinin kullanımı hem güvenilirliği hem de anonimliği sağlıyor, bu da bu botnet’in zaman içinde istikrarlı bir şekilde genişleme potansiyelini gösteriyor ve görünüşe göre tanımlanabilir bir merkezi denetleyiciden yoksun.”