Mirai kod tabanından oluşturulan botnetler, saldırganların yaygın saldırılarda gevşek IoT cihazından ve cihaz güvenliğinden faydalanmasıyla teknoloji arenasında ortalığı kasıp kavurmaya devam ediyor.
IoT ve NAS depolama dahil olmak üzere bilgisayarlar ve diğer bağlı cihazlar, zayıf kimlik bilgileri, güvenlik açıkları, istismar kitleri ve diğer güvenlik zayıflıkları nedeniyle tehlikeye girer.
Bu sistemler, kötü niyetli faaliyetler gerçekleştirmesi için komut verilebilen bir cihaz ağına katılır.
Botnet’lerle yaygın olarak ilişkilendirilen saldırı türleri, Dağıtılmış Hizmet Reddi (DDoS) saldırılarının başlatılması, bilgi hırsızlığına ve fidye yazılımının dağıtımına yol açan kaba kuvvet saldırıları ve kötü amaçlı yazılım madenciliği yazılımının yüklenmesidir. İnternette açığa çıkan savunmasız sunuculara kripto para birimleri.
Mirai’nin Mirası
Muhtemelen bu botnetlerin en bilineni, 2016 yılında DNS sağlayıcısı Dyn’e ve siber güvenlik uzmanı ve gazetecinin web sitesine karşı feci DDoS saldırılarıyla giriş yapan Mirai’dir. Brian Krebs.
Mirai’nin kaynak kodu daha sonra çevrimiçi olarak yayınlandı ve varyantların oluşturulmasının önünü açtı. Okiru dahil, Satori ve Masuta.
Orijinal botnet’in yaşına rağmen, kodunun mutasyona uğramış sürümlerde kullanılması, Mirai’nin kuruluşlar için hala bir risk oluşturduğu anlamına gelir.
Salı günü, Intel 471 bir yeni rapor Mirai’yi yeni biçimlere dönüştürme konusunda ve 2020’lerde ve 2021’lerde bu botnet’in türevleri aracılığıyla bağlanan cihazlara yönelik saldırılarda bir artış olduğunu bildirdi.
Araştırmacılar, “Kötü niyetli aktörler, yalnızca büyük botnet’ler oluşturma fırsatını değil, aynı zamanda güvenliği ihlal edilmiş kuruluşlara bağlı bağlı cihazlardan gizli verileri çalma ve potansiyel olarak yeraltı pazarlarında satma fırsatını da yakaladı” diyor.
Bağlı nesnelerin sayısının 2025 yılına kadar yaklaşık 30,9 milyara ulaşması beklendiğinden, ekip bu botnetlerin tehdidinin – ve genel gücünün – yalnızca büyümesini bekliyor.
Şu anda, Gafgyt ve Mirai’nin yanı sıra BotenaGo, Echobot, Loli, Moonet ve Mozi gibi Mirai’nin koduna dayalı birden fazla botnet, öncelikle Avrupa ve Kuzey Amerika’da bulunan cihazları hedeflemek için kullanılıyor.
Kötü niyetli aktörler, IoT cihazlarını tehlikeye atmak ve ağlarının gücünü artırmak için istismar kitlerinde genellikle aşağıdaki güvenlik açıklarını kullanır:
- CVE-2018-4068, CVE-2018-4070 ve CVE-2018-4071: Sierra Wireless AirLink’te (ES450 FW sürüm 4.9.3) bilgi sızıntıları.
- CVE-2019-12258, CVE-2019-12259, CVE-2019-12262 ve CVE-2019-12264: Wind River Systems VxWorks RTOS’taki DoS güvenlik açıkları.
- CVE-2019-12255, CVE-2019-12260, CVE-2019-12261 ve CVE-2019-12263: VxWorks RTOS’ta bellek bozulması hataları.
- CVE-2021-28372: ThroughTek Kalay P2P SDK’da (sürüm 3.1.5 ve önceki sürümler) kimlik doğrulama atlama hatası.
- CVE-2021-31251: Chiyu Technology belleniminde yanlış kimlik doğrulama sorunu.
Cephanelikte Log4Shell
Bir Akamai araştırmacısı, “Mirai botnet tarafından kullanılan kötü amaçlı yazılımlara bulaşmak ve yayılmasına yardımcı olmak” için ZyXEL ağ ekipmanını hedefleyen Log4J güvenlik açıklarını kullanma girişimini keşfetti.
Larry Cashdollar, Akamai Technologies Güvenlik Olayı Müdahale Ekibi Üyesi, Açıklamak şirket nedeniyle Zyxel özellikle hedeflenmiş olabilir bir blog yazısı yayınladı Log4J güvenlik açığından etkilendiğini belirtir.
“Baktığım ilk örnek, diğer savunmasız cihazları taramak için işlevler içeriyordu. Aşağıdaki özelliklerde listelenen tüm cihazlar veya yazılım çerçeveleri, uzaktan kod yürütülmesine karşı savunmasızdır” diye yazdı.
“İkinci örnek […] artık yukarıdaki istismar işlevlerini içermiyor, ancak Mirai’nin standart saldırı işlevlerini içeriyordu. Yukarıdaki saldırı vektörlerinin Log4j istismarı lehine kaldırıldığı görülüyor. Saldırı işlevlerinin adlarına ve talimatlarına dayanarak, bu örneğin Mirai kötü amaçlı yazılım ailesinin bir parçası olduğuna inanıyorum. »
Bu kötü amaçlı yazılımla ilgili ilginç şeylerden biri, “güvenlik açığı bulunan bir Log4j örneğine bağlanan kötü amaçlı yazılım örnekleri için otomatik dize çıkarma yardımcı programlarınız varsa, bu yükün çalışabilmesidir.”
“Bunu yaparak, yapılandırmanıza bağlı olarak muhtemelen kötü amaçlı yazılım tarama sisteminize bulaşabilirsiniz. Yine, savunmasız sistemlerinizi yamalamak, sunucularınızı tehlikeye atmaktan korumanın anahtarıdır, ”diyor Larry Cashdollar.
Zyxel yayınladı sorunla ilgili bir güvenlik tavsiyesi. Şirket, güvenlik açığının farkında ve bunun yalnızca NetAtlas Element Management System ürün serisini etkilediğini söylüyor.
“Daha fazla araştırmadan sonra, garanti ve destek süresi içinde olan tek bir savunmasız ürün belirledik ve sorunu çözmek için aşağıdaki tabloda listelendiği gibi bir yama yayınlayacağız” diye yazdılar.
Zyxel, 20 Aralık’ta geçici bir koruma yönteminin yayınlandığını ve buna ihtiyacı olan kişileri dosya için kendileriyle iletişime geçmeye çağırdı. Şubat ayı sonuna kadar bir düzeltme mevcut olacak.
Kaynak: ZDNet.com
