SSHStalker: Yeni Bir Linux Botnet Tehditi
Son dönemde keşfedilen SSHStalker adlı yeni bir Linux botnet, komut ve kontrol (C2) işlemleri için IRC (Internet Relay Chat) iletişim protokolünü kullanıyor. Bu durum, eski teknolojilerin modern siber tehditlerde nasıl yeniden yer bulduğunu ve siber güvenlik alanında ciddi riskler oluşturduğunu gösteriyor.
SSHStalker’ın İşleyişi
SSHStalker botneti, IRC’nin klasik mekaniklerine dayanarak, birkaç C tabanlı bot ve çok sunucu/kanal yedekliliği kullanmaktadır. Modern C2 çerçeveleri yerine, bu botnet dayanıklılık, ölçeklenebilirlik ve düşük maliyet önceliklerini taşıyor.
Flare isimli tehdit istihbarat şirketinin araştırmalarına göre, SSHStalker şu özelliklere sahiptir:
- Gürültülü SSH taramaları kullanma
- Bir dakikalık cron işlerini uygulama
- 15 yıllık CVE geçmişinden faydalanma
Bir Flare araştırmacısı, SSHStalker botnetinin “gürültülü, bir araya getirilmiş bir botnet seti” olduğunu belirtti. Bu yapı, eski usul IRC kontrolü, hostlarda ikili dosyaların derlenmesi, toplu SSH ihlalleri ve cron tabanlı kalıcılık gibi unsurları içeriyor.
Etkilenen Sistemler
SSHStalker, otomatik SSH taramaları ve brute force saldırıları aracılığıyla ilk erişimi sağlar. Bu süreçte, nmap adlı popüler açık kaynak ağ keşif aracını taklit eden bir Go ikili dosyası kullanılır.
Bu botnetin hedef aldığı sistemlerin başında şunlar gelmektedir:
- Oracle Cloud altyapısına sahip bulut hizmeti sağlayıcıları
- Linux kernel versiyonları (2009-2010 dönemine ait) için 16 CVE’ye sahip sistemler
SSHStalker, enfekte ettiği sistemler üzerinden diğer SSH hedeflerini tarar ve bu süreç, solucan benzeri bir yayıcı mekanizma ile çalışır.
Çözüm ve Korunma
Flare, saldırılara karşı bazı gelişmiş koruma önerileri sunmaktadır:
- SSH şifreli kimlik doğrulamasını devre dışı bırakın.
- Üretim imajlarından derleyicileri kaldırın.
- Çıkış filtrelemesi uygulayın.
- ‘/dev/shm’ üzerinden çalıştırmaları kısıtlayın.
Üretim sunucularında derleyici kurulum ve çalıştırma için izleme çözümleri yerleştirilmesi ve IRC tarzı dışa bağlantılar için uyarı sistemlerinin aktif hale getirilmesi de önerilmektedir.
Sonuç
Tüm bu nedenlerden ötürü, sistem yöneticilerinin kesinlikle güncellemeleri ve mevcut güvenlik açıklarını kapatmayı ihmal etmemesi gerekmektedir. Ayrıca, değeri artan siber güvenlik önlemleri ile botnet tehditlerine karşı hazırlıklı olmak son derece önemlidir.
