Yenilikçi Botnet: PumaBot
Son dönemde Embedded Linux tabanlı Nesnelerin Interneti (IoT) cihazları, PumaBot adı verilen yeni bir botnetin hedefi haline geldi. Go dilinde yazılan bu botnet, SSH örneklerine karşı brute force saldırıları gerçekleştirmek üzere tasarlanmıştır. Bu saldırılar, botnetin boyutunu ve ölçeğini artırmak amacıyla yapılmaktadır; aynı zamanda, enfekte olmuş ana makinelere ek kötü yazılımlar göndermeyi hedeflemektedir.
Botnetin Saldırı Stratejisi
Darktrace’in analizine göre, malware, interneti taramak yerine bir komut ve kontrol (C2) sunucusundan hedef listesini alarak, SSH kimlik bilgilerini brute-force denemeleriyle elde etmeye çalışmaktadır. Erişim sağladıktan sonra, uzak komutlar alır ve sistem hizmet dosyalarını kullanarak kalıcılığını sağlamaktadır.
Brute-force denemeleri sırasında, sistemin uygun olup olmadığını belirlemek için çeşitli kontroller gerçekleştirilir. Özellikle, "Pumatronix" ifadesinin varlığı kontrol edilmektedir. Bu, ya onları özel olarak hedef alma ya da hariç tutma girişimi olabilir.
PumaBot’un Davranış Şekli
Malware, başarılı bir şekilde SSH kimlik bilgilerini brute-force ile ele geçirerek, açık SSH portlarına sahip naneler arasında yayılmaktadır. Bu süreçte, ilk olarak /lib/redis dizinine kendini yazarak, meşru bir Redis sistem dosyası gibi görünmeye çalışmaktadır. Ayrıca, /etc/systemd/system dizininde ya redis.service ya da mysqI.service adında kalıcı bir sistem hizmeti oluşturmaktadır. Bu durum, malware’in zararsız bir yapı sergileyerek yeniden başlatmalara dayanmasını mümkün kılmaktadır.
Cryptocurrency Madenciliği ve İlaveleri
PumaBot, iki ana komutu çalıştırmaktadır: xmrig ve networkxm. Bu komutlar, ele geçirilen cihazların kaçak bir şekilde kripto para madenciliği yapılarak kullanılmasını sağlamaktadır. Ancak, komutlar tam yollar belirtilmeden çalıştırılmakta, bu da payload’ların muhtemelen enfekte cihazda başka bir yerde indirilmiş ya da açılmış olabileceğini işaret etmektedir.
Darktrace, bu kampanya üzerinde yaptığı analizi sonucunda daha geniş bir kampanyanın parçası olarak dağıtıldığı öne sürülen diğer ekipmanları da keşfetmiştir. Bunlar arasında:
ddaemon: Go tabanlı bir arka kapı ve “networkxm” ikili dosyasını /usr/src/bao/networkxm yoluna indirip çalıştırmak için kullanılan bir bileşen.
networkxm: SSH üzerinde brute-force işlevi gören, C2 sunucusundan bir şifre listesi alarak hedef IP adreslerine SSH bağlantısı kurmaya çalışan bir araç.
installx.sh: Başka bir shell script olan jc.sh’yi dış bir sunucudan indirmek ve gerekli izinleri vererek çalıştırmak için kullanılan bir yöntem.
jc.sh: pam_unix.so adlı kötü niyetli bir dosyayı başka bir sunucudan indirmek ve bunu sistemde bulunan meşru versiyonunun yerine geçirmek için yapılandırılmıştır.
pam_unix.so: Başarılı oturum açma işlemlerini keserek bunları /usr/bin/con.txt dosyasına yazan bir rootkit işlevi görmektedir.
- 1: con.txt dosyasının yazılması ya da taşınmasını izleyip içeriğini aynı sunucuya dışarı sarkmak için kullandığı bir başka bileşen.
Önlemler ve Öneriler
PumaBot’un sahip olduğu SSH brute-force yetenekleri, ona solucan benzeri özellikler kazandırmaktadır. Kullanıcılar, öncelikle anomali tespitini sağlamak amacıyla ilişkisiz SSH oturum açma faaliyetlerine odaklanmalı; özellikle başarısız oturum açma denemelerini gözlemlemelidir.
systemd servislerini düzenli olarak gözden geçirmeli, authorized_keys dosyalarını yabancı SSH anahtarları için kontrol etmelidir. Aynı zamanda, maruz kalmayı sınırlamak için sıkı firewall kuralları uygulamak ve standart olmayan başlıklarla, örneğin X-API-KEY: jieruidashabi ile HTTP isteklerini filtrelemek hayati öneme sahiptir.
Sonuç
PumaBot, otomasyonu, kimlik bilgisi kırma yöntemlerini ve yerel Linux araçlarını kullanarak ele geçirilen sistemler üzerinde kontrol sağlamada kararlıdır. Meşru ikili dosyaları taklit etmesi, systemd’yi kalıcılık için kullanımını kötüye çıkarması ve balon avlarını kaçırmak amacıyla parmak izi mantığı entegre etmesi, savunmaları aşma niyetini açıkça göstermektedir.
