21 Ocak 2025Ravie LakshmananE-posta Güvenliği / Botnet

Ele geçirilen yaklaşık 13.000 Mikrotik yönlendiriciden oluşan küresel bir ağ, MikroTik cihazları tarafından desteklenen botnet’lerin listesine en son eklenen, spam kampanyaları aracılığıyla kötü amaçlı yazılımları yaymak için bir botnet olarak kullanıldı.

“al” etkinliği[s] Infoblox güvenlik araştırmacısı David Brunsdon, e-posta koruma tekniklerini geçirmek için yanlış yapılandırılmış DNS kayıtlarının avantajını kullanıyor. söz konusu Geçen hafta yayınlanan teknik bir raporda. “Bu botnet, meşru alanlardan geliyormuş gibi görünen kötü amaçlı e-postalar göndermek için küresel bir Mikrotik yönlendirici ağını kullanıyor.”

Kampanyaya kod adı veren DNS güvenlik şirketi Mikro Yazım Hatasıanalizinin, Kasım 2024’ün sonlarında, alıcıları bir ZIP arşivi yükünü başlatmaya ikna etmek için navlun faturasıyla ilgili tuzaklardan yararlanan bir malspam kampanyasının keşfedilmesinden kaynaklandığını söyledi.

ZIP dosyası, 62.133.60 IP adresinde bulunan bir komut ve kontrol (C2) sunucusuna giden bağlantı başlatmak üzere tasarlanmış bir PowerShell betiğini çalıştırmaktan sorumlu olan, gizlenmiş bir JavaScript dosyası içerir.[.]137.

Yönlendiricilere sızmak için kullanılan tam başlangıç ​​erişim vektörü bilinmiyor, ancak keyfi kod yürütme sağlamak için kötüye kullanılabilecek kritik bir ayrıcalık yükseltme sorunu olan CVE-2023-30799’a karşı savunmasız olanlar da dahil olmak üzere çeşitli donanım yazılımı sürümleri etkilendi.

“Nasıl ele geçirilmiş olursa olsun, oyuncu sanki senaryoyu ekrana yerleştirmiş gibi görünüyor. [Mikrotik] Brunsdon, cihazların TCP yeniden yönlendiricileri olarak çalışmasına olanak tanıyan SOCKS’yi (Güvenli Yuvalar) etkinleştiren cihazlar” dedi.

“SOCKS’un etkinleştirilmesi, her cihazı etkili bir şekilde bir proxy’ye dönüştürerek, kötü amaçlı trafiğin gerçek kaynağını maskeliyor ve kaynağa kadar izini sürmeyi zorlaştırıyor.”

Bu proxy’leri kullanmak için gereken kimlik doğrulama eksikliği, diğer tehdit aktörlerinin belirli cihazları veya tüm botnet’i, dağıtılmış hizmet reddi (DDoS) saldırılarından kimlik avı kampanyalarına kadar kötü amaçlarla silah haline getirmesine olanak tanıması endişeyi artırıyor.

Söz konusu malspam kampanyasının, 20.000 alan adının gönderen politikası çerçevesi (SPF) TXT kayıtlarındaki yanlış yapılandırmadan yararlanarak saldırganlara bu alanlar adına e-posta gönderme ve çeşitli e-posta güvenlik korumalarını atlama olanağı sağladığı tespit edildi.

Spesifik olarak, SPF kayıtlarının son derece hoşgörülü “+tümü” seçeneğiyle yapılandırıldığı ve esasen korumaya sahip olma amacını boşa çıkardığı ortaya çıktı. Bu aynı zamanda ele geçirilen MikroTik yönlendiriciler gibi herhangi bir cihazın e-postadaki meşru etki alanını taklit edebileceği anlamına da gelir.

MikroTik cihaz sahiplerinin, herhangi bir istismar girişimini önlemek için yönlendiricilerini güncel tutmaları ve varsayılan hesap kimlik bilgilerini değiştirmeleri önerilir.

Brunsdon, “Çok sayıda MikroTik cihazının güvenliği ihlal edildiğinden, botnet, DDoS saldırılarından veri hırsızlığı ve kimlik avı kampanyalarına kadar çok çeşitli kötü amaçlı faaliyetleri başlatma kapasitesine sahip” dedi. “SOCKS4 proxy’lerinin kullanılması, tespit ve hafifletme çabalarını daha da karmaşık hale getirerek sağlam güvenlik önlemlerine olan ihtiyacın altını çiziyor.”

05 Tem 2024Haber odasıAğ Güvenliği / DDoS Saldırısı

Fransız bulut bilişim firması OVHcloud, Nisan 2024’te saniyede 840 milyon paket (Mpps) paket hızına ulaşan rekor kıran bir dağıtılmış hizmet reddi (DDoS) saldırısını hafiflettiğini duyurdu.

Bu, 809 milyon Mpps’lik önceki rekorun hemen üzerinde bildirildi Akamai’nin Haziran 2020’de büyük bir Avrupa bankasını hedef aldığı iddia edildi.

840 Mpps DDoS saldırısının, 5.000 kaynak IP’den kaynaklanan bir TCP ACK saldırısı ve trafiği artırmak için yaklaşık 15.000 DNS sunucusundan yararlanan bir DNS yansıma saldırısının birleşimi olduğu söyleniyor.

“Saldırı dünya çapında dağıtılırken, toplam paketlerin 2/3’ü yalnızca dört ülkeden girdi [points of presence]hepsi ABD’de bulunuyor ve bunlardan 3’ü batı kıyısında,” OVHcloud kayıt edilmiş“Bu, saldırganın yalnızca birkaç eşleşmeyle çok büyük bir paket hızı gönderme yeteneğini ortaya koyuyor ve bu da çok sorunlu olabilir.”

Şirket, 2023’ten itibaren DDoS saldırılarında hem sıklık hem de yoğunluk açısından önemli bir artış gözlemlediklerini, saniyede 1 terabit (Tbps) üzerine çıkanların ise düzenli bir şekilde gerçekleştiğini belirtti.

“Geçtiğimiz 18 ayda, 1+ Tbps saldırıların oldukça nadir, sonra haftalık, neredeyse günlük (bir hafta boyunca ortalama) hale geldiğini gördük,” dedi OVHcloud’dan Sebastien Meriot. “Bu dönemde gözlemlediğimiz en yüksek bit hızı ~2,5 Tbps idi.”

Mevcut bant genişliğini tüketmek amacıyla hedeflere çok miktarda önemsiz trafik göndermeyi amaçlayan tipik DDoS saldırılarının aksine, paket oranı saldırıları yük dengeleyiciler gibi hedefe yakın ağ aygıtlarının paket işleme motorlarını aşırı yükleyerek çalışır.

Şirket tarafından toplanan veriler, 100 Mpps’den daha yüksek paket hızlarından yararlanan DDoS saldırılarının aynı zaman diliminde keskin bir artışa tanık olduğunu ve bunların çoğunun tehlikeye atılmış MikroTik Cloud Core Router (CCR) cihazlarından kaynaklandığını gösteriyor. İnternet üzerinden 99.382’ye kadar MikroTik yönlendiriciye erişilebilir.

Bu yönlendiriciler, bir yönetim arayüzünü açığa çıkarmanın yanı sıra, işletim sisteminin eski sürümlerinde çalışır ve bu da onları RouterOS’deki bilinen güvenlik açıklarına karşı savunmasız hale getirir. Tehdit aktörlerinin saldırıları gerçekleştirmek için işletim sisteminin Bant Genişliği test özelliğini silah olarak kullandıklarından şüpheleniliyor.

Açıkta kalan cihazların %1’inin bile bir DDoS botnet’ine dahil edilmesinin, saldırganlara teorik olarak yeterli yetenekler kazandırabileceği tahmin ediliyor. 7. katman saldırıları saniyede 2,28 milyar pakete (Gpps) ulaşıyor.

Bu aşamada MikroTik yönlendiricilerinin, Mēris gibi güçlü botnet ağları kurmak ve hatta botnet hizmeti olarak operasyonları başlatmak için kullanıldığını belirtmekte fayda var.

Meriot, “Tehlikeye atılan cihazların sayısına ve gerçek kapasitelerine bağlı olarak, bu paket oranı saldırıları için yeni bir dönem olabilir: Botnet’lerin saniyede milyarlarca paket gönderme kapasitesine sahip olmasıyla, anti-DDoS altyapılarının nasıl oluşturulacağı ve ölçekleneceği ciddi şekilde zorlanabilir” dedi.

MikroTik’in savunmasız yönlendiricileri, siber güvenlik araştırmacılarının son yıllarda görülen en büyük hizmet olarak botnet siber suç operasyonlarından birini oluşturmak için kötüye kullanıldı.

Avast tarafından yayınlanan yeni bir araştırmaya göre, yeni kesintiye uğrayan Glupteba botnet’i ve kötü şöhretli TrickBot kötü amaçlı yazılımını kullanan bir kripto para madenciliği kampanyası, hepsi aynı komut ve kontrol (C2) sunucusu kullanılarak dağıtıldı.

Avast’ın kıdemli kötü amaçlı yazılım araştırmacısı Martin Hron, “C2 sunucusu, yaklaşık 230.000 savunmasız MikroTik yönlendiriciyi kontrol eden bir hizmet olarak botnet olarak hizmet ediyor,” dedi. dedim bir yazıda, potansiyel olarak onu şimdi Mēris botnet olarak adlandırılan şeye bağlar.

Botnet’in MikroTik yönlendiricilerin Winbox bileşenindeki (CVE-2018-14847) bilinen bir güvenlik açığından yararlandığı ve saldırganların etkilenen herhangi bir cihaza kimliği doğrulanmamış, uzaktan yönetim erişimi elde etmesine olanak sağladığı bilinmektedir. Mēris botnet’in bölümleri şunlardı: düden geç zamanda Eylül 2021.

Hron, “2018’de duyurulan ve MikroTik’in bir düzeltme yayınladığı CVE-2018-14847 güvenlik açığı, bu botnet’in arkasındaki siber suçluların tüm bu yönlendiricileri köleleştirmesine ve muhtemelen bir hizmet olarak kiralamasına izin verdi.” Dedi. .

Avast tarafından Temmuz 2021’de gözlemlenen saldırı zincirinde, savunmasız MikroTik yönlendiricilerin, bestony adlı bir alan adından birinci aşama yükünü alması hedeflendi.[.]club, daha sonra ikinci bir alan adı olan “globalmoby’den ek komut dosyaları almak için kullanıldı.[.]xyz.”

Yeterince ilginç, her iki alan da aynı IP adresine bağlıydı: 116.202.93[.]14, saldırılarda aktif olarak kullanılan yedi alanın daha keşfedilmesine yol açtı, bunlardan biri (tik.anyget[.]ru), Glupteba kötü amaçlı yazılım örneklerini hedeflenen ana bilgisayarlara sunmak için kullanıldı.

“https://tik.anyget URL’sini isterken[.]ru https://routers.rip/site/login etki alanına yönlendirildim (yine Cloudflare proxy tarafından gizlenir),” dedi Hron. “Bu, köleleştirilmiş MikroTik yönlendiricilerin düzenlenmesi için bir kontrol panelidir” botnet’e bağlı cihazların canlı sayacını gösteren sayfa.

Ancak Mēris botnet’in ayrıntıları Eylül 2021’in başlarında kamu alanına girdikten sonra, C2 sunucusunun tamamen kaybolmadan önce komut dosyalarını sunmayı aniden durdurduğu söyleniyor.

Açıklama aynı zamanda Microsoft’tan gelen ve TrickBot kötü amaçlı yazılımının uzak sunucularla komuta ve kontrol iletişimi için vekiller olarak MikroTik yönlendiricileri nasıl silahlandırdığını ortaya çıkaran ve operatörlerin aynı botnet’i kullanmış olabileceği olasılığını artıran yeni bir raporla örtüşüyor. servis.

Bu saldırıların ışığında, kullanıcıların yönlendiricilerini en son güvenlik yamalarıyla güncellemeleri, güçlü bir yönlendirici parolası oluşturmaları ve yönlendiricinin yönetim arabirimini halka açık taraftan devre dışı bırakmaları önerilir.

“Ayrıca, bir süredir oldukça açık olan şey, IoT cihazlarının yalnızca üzerlerinde kötü amaçlı yazılım çalıştırmayı değil, tüm farklı mimariler ve işletim sistemi sürümleri göz önüne alındığında toplu olarak yazması ve yayması zor olan kötü amaçlı yazılımları çalıştırmayı hedeflediğini gösteriyor. onları vekil olarak kurmak için yasal ve yerleşik yetenekleri, “dedi Hron. “Bu, saldırganın izlerini anonimleştirmek veya bir DDoS yükseltme aracı olarak hizmet etmek için yapılır.”

Güncelleme: Letonyalı MikroTik şirketi The Hacker News’e verdiği demeçte, sayının “yalnızca biz yamayı piyasaya sürmeden önce doğruydu. [the] 2018 yılı. Yama yayınlandıktan sonra, etkilenen gerçek cihaz sayısı, hala eski yazılımı çalıştıran 20.000 birime yakındır. Ayrıca, hepsi botnet tarafından kontrol edilmiyor, birçoğunun eski yazılımları çalıştırmasına rağmen katı bir güvenlik duvarı var.”

Yorum için Avast’a ulaşıldığında, siber güvenlik şirketi, etkilenen cihaz sayısının (~230.000) botnet’in kesintiden önceki durumunu yansıttığını doğruladı. Şirket yaptığı açıklamada, “Ancak, kimlik bilgileri tehlikeye atılmış veya internette yama uygulanmamış halde kalan izole yönlendiriciler hala var” dedi.

(Yazının başlığı, daha önce belirtildiği gibi etkilenen MikroTik yönlendirici sayısının artık 200.000’den fazla olmadığı gerçeği dikkate alınarak düzeltilmiştir.)

Microsoft Çarşamba günü, komuta ve kontrol (C2) sunucuları ile iletişim kurmak için bir aracı olarak güvenliği ihlal edilmiş Nesnelerin İnterneti (IoT) cihazlarının kullanılmasını içeren TrickBot kötü amaçlı yazılımı tarafından kullanılmaya başlanan daha önce keşfedilmemiş bir tekniği detaylandırdı.

Microsoft’un Defender for IoT Araştırma Ekibi ve Tehdit İstihbarat Merkezi, “MikroTik yönlendiricileri C2 sunucuları için proxy sunucuları olarak kullanarak ve trafiği standart olmayan bağlantı noktaları üzerinden yeniden yönlendirerek, TrickBot, kötü niyetli IP’lerin standart güvenlik sistemleri tarafından algılanmasından kaçmasına yardımcı olan başka bir kalıcılık katmanı ekler.” MSTIC) dedim.

2016 yılında bankacılık truva atı olarak ortaya çıkan TrickBot, taktiklerini farklı ağlara, ortamlara ve cihazlara uyarlamanın yanı sıra bir hizmet olarak erişim sunmasını sağlayan modüler mimarisiyle sofistike ve kalıcı bir tehdide dönüşmüştür. Conti fidye yazılımı gibi sonraki aşama yükler için.

Botnet, saldırı çerçevesini dayanıklı hale getirmek, tersine mühendislikten kaçınmak ve C2 sunucularının kararlılığını korumak için özelliklerini sürekli olarak iyileştirmiş olsa bile, TrickBot’un yeteneklerinin genişletilmesi, altyapısının çevrimdışı duruma geldiğine dair raporların ortasında geliyor.

Spesifik olarak, MSTIC tarafından tanımlanan yeni yöntem, “TrickBot’tan etkilenen cihaz ile C2 sunucusu arasında bir iletişim hattı oluşturmak” için MikroTik’ten yönlendiriciler gibi saldırıya uğramış IoT cihazlarından yararlanmayı içerir.

Bu aynı zamanda varsayılan parolalar, kaba kuvvet saldırıları veya MikroTik RouterOS’ta şu anda yamalı bir kusurdan yararlanma gibi bir yöntem kombinasyonu kullanarak yönlendiricilere girmeyi de gerektirir (CVE-2018-14847), ardından erişimi sürdürmek için yönlendiricinin parolasını değiştirin.

Bir sonraki adımda, saldırganlar daha sonra konu yönlendiricideki 449 ve 80 numaralı bağlantı noktaları arasındaki trafiği yeniden yönlendirmek ve TrickBot’tan etkilenen ana bilgisayarların C2 sunucusuyla iletişim kurması için bir yol oluşturmak üzere tasarlanmış bir ağ adresi çevirisi (NAT) komutu.

TrickBot ve güvenliği ihlal edilmiş MikroTik ana bilgisayarları arasındaki potansiyel bağlantılar daha önce Kasım 2018, bu, ilk kez tam olarak işleyiş biçiminin çıplak olarak ortaya konmasıdır. Kötü amaçlı yazılımın geçen ay sınırlarına ulaşması ve Aralık 2021’den bu yana hiçbir yeni C2 sunucusunun kaydedilmemesiyle birlikte, operatörlerin operasyonu nasıl ilerletmeyi planladıkları görülüyor.

Araştırmacılar, “Geleneksel bilgi işlem cihazları için güvenlik çözümleri gelişmeye ve gelişmeye devam ettikçe, saldırganlar hedef ağları tehlikeye atmak için alternatif yollar keşfedecek” dedi. “Yönlendiricilere ve diğer IoT cihazlarına yönelik saldırı girişimleri yeni değil ve yönetilmedikleri için ağdaki en zayıf halkalar olabilirler.”