Yeni Bir Botnet Operasyonu: SSHStalker
Son dönemde siber güvenlik araştırmacıları, komut ve kontrol (C2) amaçları için Internet Relay Chat (IRC) protokolünü kullanan yeni bir botnet operasyonu olan SSHStalker hakkında detaylar paylaşmıştır. Bu saldırı, unutulmuş altyapılara yönelik etkili ve sarsıcı bir tehdittir.
Saldırı Nasıl Çalışıyor?
SSHStalker, IRC botnet mekaniği ile otomatik toplu ele geçirme işlemlerini birleştirerek, açık SSH’ye sahip sunucuları keşfetmek için tarayıcılar kullanmaktadır. Bu süreçte, aşağıdaki öğeler kullanılarak sistemler ele geçirilmektedir:
- Bir Golang tarayıcı, port 22’de açık SSH sunucularını tarar.
- IRC kontrollü botlar ve Perl bazlı dosyalar ile kontrol kanallarına katılır ve komutlar bekler.
- C program dosyalarının kullanımı ile SSH bağlantı günlükleri temizlenir ve kötü amaçlı aktivitelerin izleri silinir.
- Keep-alive mekanizması, ana kötü amaçlı sürecin güvenlik araçları tarafından sonlandırılması durumunda 60 saniye içinde yeniden başlatılmasını sağlar.
Bu botnet, tipik bir DDoS (Hizmet Reddi) saldırısı veya kripto para madenciliği gibi fırsatçı yöntemler yerine, sürekli erişim sağlama amacı gütmektedir. Ele geçirilen altyapının, gelecekte stratejik erişim sağlamak amacıyla test veya sahneleme için kullanılması mümkündür.
Etkilenen Sistemler
SSHStalker, 2009’dan itibaren aktif olan Linux 2.6.x sürümüne ait 16 farklı güvenlik açığını hedef almaktadır. Kullanılan bazı CVE kodları şunlardır:
- CVE-2009-2692
- CVE-2009-2698
- CVE-2010-3849
- CVE-2010-1173
- CVE-2009-2267
- CVE-2009-2908
- CVE-2009-3547
- CVE-2010-2959
- CVE-2010-3437
Bu açıklar, modern sistemler üzerinde düşük değer taşırken, unutulmuş altyapılar üzerinde oldukça etkilidir.
Çözüm ve Korunma
SSHStalker’ın etkilerinden korunmak adına yapılması gerekenler:
- Sistemlerinizi güncelleyin ve güncel güvenlik yamanız olup olmadığını kontrol edin.
- Ssh portu (22) üzerinde gereksiz erişimlere kapatın veya güvenlik duvarı kurallarını güçlendirin.
- Zafiyet taramaları yaparak sistemlerinizdeki potansiyel açıkları belirleyin.
- Herhangi bir saldırı belirtisi durumunda, inceleme yapmak için log kayıtlarını gözden geçirin.
Ayrıca, geçmişte kullanılan rootkitler, kripto para madencileri ve AWS gizlilik anahtarlarını çalmaya yönelik araçların bulunması, bu botnet’in daha geniş bir tehlike barındırdığını göstermektedir.
Sonuç olarak, SSHStalker gibi tehditlere karşı proaktif bir yaklaşım benimseyerek, sistemlerinizi koruma altına almalı ve sürekli güncellemelerle açıklarınızı kapatmalısınız.
