PumaBot: Yeni Tehditlerin Hedefi
Son yıllarda IoT (Nesnelerin İnterneti) cihazlarına yönelik siber saldırılar büyük bir artış göstermiştir. Bu tehditlerden biri de yeni keşfedilen PumaBot adlı Linux botnet zararlısıdır. PumaBot, gömülü IoT cihazlarında SSH kimlik bilgilerini brute-force (kaba kuvvet) saldırılarıyla elde ederek kötü niyetli yüklemeler dağıtmaktadır. Bu yazıda, PumaBot’un işleyişi, hedefleri ve siber güvenlik açısından alınması gereken önlemleri ele alacağız.
Belirli Hedefler Üzerine Yoğunlaşma
PumaBot’un hedef odaklı doğası, zararlının belirli IP listelerini bir komut ve kontrol (C2) sunucusundan almasıyla belirgindir. Bu durum, zararlının interneti kapsamlı bir şekilde taramak yerine, önceden belirlenmiş hedeflere saldırdığı anlamına gelmektedir.
Darktrace, PumaBot’u içeren bir rapor yayınlayarak botnet’in saldırı akışını, tehlike göstergelerini (IoCs) ve tespit kurallarını detaylandırmıştır. PumaBot, SSH erişimi açık olan hedef IP’ler için port 22’de brute-force giriş denemeleri yapmaktadır. Bu süreçte, hedef cihazların bir "Pumatronix" dizesine sahip olup olmadığını kontrol eder. Darktrace’e göre, bu dize, belirli üreticilerin güvenlik kameraları ve trafik kamera sistemleri gibi cihazlarını hedef almak amacıyla kullanılmaktadır.
İlk Eylemler ve Kötü Amaçlı Yükleme
Hedefler belirlendikten sonra, zararlı yazılım, denemek üzere kimlik bilgilerini alır. Eğer giriş denemesi başarılı olursa, çalışma ortamı bilgilerini almak için ‘uname -a’ komutunu çalıştırarak hedef cihazın bir honeypot olup olmadığını kontrol eder.
Daha sonra, ana ikili dosyasını (jierui) /lib/redis dizinine yazar ve bir systemd hizmeti (redis.service) oluşturarak cihaz yeniden başlatıldığında kalıcılığı sağlamaya çalışır. Son olarak, SSH erişimini sürdürmek amacıyla ‘authorized_keys’ dosyasına kendi anahtarını enjekte eder. Bu sayede, zararlı yazılımın ana enfeksiyonu silinmiş olsa bile erişimini korur.
Veri Sızıntısı ve İleri Düzey Saldırılar
PumaBot, enfeksiyon yerinde aktif kaldığında, veri sızıntısına, yeni yüklemelerin tanıtılmasına ve yanal hareketlerde faydalı verilerin çalınmasına yönelik komutlar alabilir. Darktrace tarafından gözlemlenen örnek yükler arasında kendi kendini güncelleyen betikler, PAM kök taklitçileri ve daemons (ikili dosya "1") bulunmaktadır.
Kötü niyetli PAM modülü, yerel ve uzak SSH giriş bilgilerini toplayarak bunları bir metin dosyasına (con.txt) kaydeder. Watcher ikili dosyası (1), bu metin dosyasını sürekli olarak izler ve ardından içeriklerini C2 sunucusuna sızdırır.
Tehditlerin Yok Edilmesi ve Temizlik Süreci
Veri sızıntısı gerçekleştirildikten sonra, metin dosyası enfekte olmuş cihazdan silinerek kötü niyetli faaliyetlerin izleri ortadan kaldırılır. Bu durum, siber güvenlik açısından son derece tehlikelidir, çünkü saldırganlar iz bırakmadan ağlara sızarak daha derinlemesine erişim sağlayabilirler.
PumaBot’un büyüklüğü ve başarısı henüz tam olarak bilinmemektedir; Darktrace, hedef IP listelerinin ne kadar geniş olduğunu da belirtmemiştir. Ancak bu yeni botnet zararlısı, doğrudan düşük düzeyde siber suçlarla (örneğin dağıtılmış hizmet reddi – DDoS saldırıları veya proxy ağları) uğraşmak yerine, hedef alınan ağların daha derinlerine sızmak için planlı saldırılar başlatma kapasitesine sahiptir.
Koruma Yöntemleri ve Önlemler
Botnet tehditlerine karşı koyabilmek için, IoT cihazlarını en son mevcut firmware sürümüne güncellemek, varsayılan kimlik bilgilerini değiştirmek, cihazları güvenlik duvarlarının arkasına almak ve değerli sistemlerden izole edilmiş ayrı ağlarda tutmak önemlidir. Bu önlemler, potansiyel siber saldırıları önlemenin yanı sıra, cihazların güvenliğini de sağlamak adına kritik bir rol oynamaktadır.
Siber güvenliğin önemi giderek artan bir konudur ve PumaBot gibi zararlılar, bu tehditlerin ciddiyetini gözler önüne sermektedir. Gelişen teknolojilerle birlikte, koruma yöntemlerinin sürekliliği ve etkinliği sağlanmalıdır.
