Kötü Amaçlı Yazılımın Tehlikeleri
Son yıllarda siber güvenlik alanındaki tehditler hızla artış göstermiştir. Özellikle, kötü amaçlı yazılımların yayılması, kullanıcıların bilgilerinin tehlikeye girmesine sebep olmaktadır. Siber güvenlik araştırmacıları, bu tehditleri önceden tespit ederek kullanıcıları bilgilendirmeye çalışmaktadır. Son olarak, kötü amaçlı bir Go modülü tespit edilmiştir. Bu yazılım, kullanıcıların SSH oturum bilgilerini gizlice çalmak amacıyla tasarlanmıştır.
Go Modülü ile Kötü Amaçlı Faaliyetler
Kötü amaçlı yazılım, “golang-random-ip-ssh-bruteforce” adıyla anılmaktadır. İlk bakışta, bir brute-force aracı gibi görünse de aslında çok daha sinsi bir işlevselliğe sahiptir. Bu modül, ilk başarılı oturum açıldığında hedef IP adresini, kullanıcı adını ve şifreyi, tehdit aktörünün kontrolündeki bir Telegram botuna gönderir. Bu durum, kullanıcıların güvenliğini ciddi anlamda tehdit etmektedir.
Çalışma Prensibi
Bu kötü amaçlı yazılım, rastgele tanımlanmış IPv4 adreslerini tarayarak, açık SSH hizmetlerini bulmaya çalışır. Kullanıcı adı ve şifre kombinasyonlarını içeren gömülü bir liste ile brute-force saldırıları gerçekleştirir. Bu işlemler, yazılımın bir sürekli döngü içinde çalışması sayesinde devam eder. Hedefteki SSH hizmetleriyle hızlı bir şekilde bağlantı kurarak bilgileri toplar.
Telegram Bot Üzerinden Veri Gönderimi
Toplanan veri, tehdit aktörünün kontrolündeki “@sshZXC_bot” adlı Telegram botuna gönderilir. Bu mesajlar, kullanıcının bilgilerini içerir ve başarıyla oturum açıldıkça güncellenir. Bu süreç, HTTPS protokolü kullanılarak gerçekleştirildiği için normal web istekleri gibi görünmektedir. Bu yüzden siber güvenlik önlemlerinden kaçabilmektedir.
Zayıf Şifreler ve Kullanıcı Adları
Kötü amaçlı yazılım, yalnızca iki kullanıcı adı ile sınırlıdır: “root” ve “admin”. Bu kullanıcı adlarıyla birlikte, zayıf şifreler kullanılarak giriş denemeleri yapılmaktadır. Kullanılan şifreler arasında “root”, “test”, “password”, “admin”, “12345678” gibi yaygın ve zayıf şifreler bulunmaktadır. Bu tür zayıf şifreler, birçok kullanıcının güvenlik açıklarını artırmaktadır.
Güvenlik Sertifikası Kontrolünün Devre Dışı Bırakılması
Yazılımın dikkat çeken bir diğer özelliği, host key doğrulamasını devre dışı bırakmasıdır. Bu işlem, “ssh.InsecureIgnoreHostKey” ayarı ile mümkündür. Bu sayede, SSH istemcisi, kimlikleri göz ardı ederek her sunucudan gelen bağlantıları kabul edebilmektedir. Dolayısıyla, siber saldırganlar için risk oranı azalmaktadır.
Tarihçe ve İlgili Hesaplar
Bu kötü amaçlı modül, GitHub üzerindeki IllDieAnyway (G3TT) hesabıyla ilişkilendirilmiştir. Ancak şu anda bu hesap erişime kapatılmıştır. Fakat yazılım, hala pkg.go.dev üzerinde bulunmaktadır. Araştırmalara göre, bu hesapta yer alan diğer yazılımlar arasında bir IP port tarayıcı ve bir PHP tabanlı komut kontrol botu bulunmaktadır.
Siber Tehditlerin Önlenmesi
Kötü amaçlı yazılımlara karşı mücadelede siber güvenlik uzmanlarının rolleri kritik öneme sahiptir. Kullanıcıların, zayıf şifrelerden kaçınması, güncel yazılımlar kullanması ve sık sık şifre değiştirmesi önerilmektedir. Ayrıca, güvenlik yazılımlarının güncel tutulması, tehditlerin erken tespit edilmesi adına büyük önem taşımaktadır.
Sonuç
Siber güvenlik her zamankinden daha büyük bir önem arz etmektedir. Kullanıcıların, bu tür tehditlerin farkında olmaları ve gerekli önlemleri almaları şarttır. Teknolojinin hızla ilerlemesiyle birlikte, siber saldırganların da yöntemleri gelişmekte ve daha karmaşık hale gelmektedir. Bu nedenle, bireylerin ve kurumların siber güvenlik bilincini artırmaları önerilmektedir. Bu yazılımın ve benzerlerinin yarattığı riskleri azaltmak adına farkındalığın artırılması, ilerleyen dönemlerde büyük bir önem taşıyacaktır.
