Koordineli bir çabada, Lumen Technologies’in Black Lotus Labs, ABD Adalet Bakanlığı (DOJ), Federal Soruşturma Bürosu (FBI) ve Hollanda Ulusal Polisi, 2004 yılından bu yana faaliyet gösteren sofistike bir ceza vekili ağını söktü.
Black Lotus Labs tarafından bir yıldan uzun bir süredir izlenen Botnet, binlerce Nesnelerin İnterneti (IoT) ve Yaşam Sonu (EOL) cihazlarını enfekte ederek, reklam sahtekarlığı, DDOS saldırıları, kaba güçlendirme ve veri sömürüsü gibi faaliyetlerde bulunan kötü niyetli aktörler için anonimlik perdesi yarattı.
Botnet operasyonları ve altyapı
Yerleşim IP alanlarında satılmamış IoT ve küçük ofis/ev ofis (SOHO) cihazlarını hedefleyen kötü amaçlı yazılımlarla desteklenen Botnet, haftalık olarak ortalama 1.000 benzersiz bot korudu ve Türkiye’de bulunan komut ve kontrol (C2) sunucuları ile iletişim kurdu.
.png
)
Enfekte cihazların% 50’sinden fazlası Amerika Birleşik Devletleri’ndeydi, Kanada ve Ekvador önemli enfeksiyon merkezleri olarak takip edildi. BotNet’in operatörleri günlük 7.000 vekili bir havuz talep etti, ancak Black Lotus Labs’ın telemetrisi daha küçük ama oldukça etkili bir ağ öneriyor.
C2 altyapısı, dördü kurban iletişimi için HTTP bağlantı noktası 80 kullanırken, biri veri toplama için bir UDP bağlantı noktası 1443’ü kullanan beş sunucu içeriyordu.
Botnet’in uzun ömürlülüğü ve düşük algılama oranı, vekillerinin sadece% 10’u, satıcı desteğinden yoksun ve yamalanamayan EOL cihazlarına odaklanmasından kaynaklanan Virustotal gibi araçlarla işaretlendi.
Operatörler, sıfır gün kusurları yerine bilinen güvenlik açıklarından yararlanarak, bir haftadan fazla ortalama bot yaşam döngüsünü korudu ve kullanıcılar için istikrar ve anonimlik sağladı.
Lümen raporuna göre, “Bu botnet’in yeni kurbanlar elde etmek için birkaç istismar kullandığını gösteren çok çeşitli enfekte IoT cihaz tipleri, ancak operatörlerin şu anda sıfır veya bir günlük güvenlik açıkları kullandığını değerlendirmiyoruz.”
Hizmet Olarak Proxy-Hizmet Modeli
Proxy hizmeti, kripto para ödemelerini kabul ederek ve kullanıcılara 24 saat geçerli IP adresleri ve bağlantı noktaları sağlayan bir “Proxy-a-Proxy” modelinde çalıştı.
Özellikle, hizmet, bir kez keşfedildikten sonra vekillere sınırsız erişime izin vermeyen kimlik doğrulaması gerektirmedi, NSocks ve Meçhul gibi diğer botnetleri anımsatan bir taktik.
Bu açık erişim politikası, Botnet’in tehdidini artırarak çok çeşitli kötü amaçlı aktörlerin ücretsiz olarak kullanmasını sağladı. Operatörler ayrıca, proxy’lerin ortak izleme araçlarından kaçınarak tespiti daha da karmaşık hale getirerek inkar listesi kontrolleri gerçekleştirdiler.
Lümen, küresel omurgası boyunca C2 sunucularına ve C2 sunucularına ve bilinen altyapıyı etkili bir şekilde sökerek tüm trafiği NULL, C2 sunucularına null oluşturarak bozdu.
Operasyon, Spur’dan istihbaratla desteklendi ve Cert Orange Polska’nın 2023 raporundan daha önceki bulgular üzerine inşa edildi. Black Lotus Labs, savunuculara yardımcı olmak için GitHub sayfasındaki uzlaşma (IOCS) ve C2 ayrıntılarının göstergeleri yayınladı.
Konut IP’lerini sömüren proxy botnets, özellikle EOL cihazları ve IoT benimsenmesi büyüdükçe kalıcı bir tehdit olmaya devam etmektedir.
Black Lotus Labs, meşru konut faaliyetleriyle sorunsuz bir şekilde karışan bu tür trafiği tespit etme zorluğunu vurguladı. Firma, kurumsal savunucuların şüpheli giriş girişimlerini izlemelerini, bilinen proxy IP’leri engellemelerini ve gelişmiş karşı önlemleri dağıtmasını önerir.
Tüketiciler için en iyi uygulamalar, yönlendiricileri yeniden başlatma, güvenlik güncellemeleri uygulama, EOL cihazlarının değiştirilmesi ve yönetim arayüzlerinin güvence altına alınmasını içerir.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.
Lümen, FBI ve Hollanda Ulusal Polisi’ni yayından kaldırmadaki rolleri için övdü ve benzer ağları hedeflemek için kolluk kuvvetleri ile devam eden işbirliğini vurguladı.