Lümen’in Black Lotus Labs, ABD’yi içeren ortak bir operasyon yoluyla 20 yaşındaki bir Criminal Proxy ağı bozuldu.
Adalet Bakanlığı, Federal Soruşturma Bürosu (FBI) ve Hollanda Ulusal Polisi.
Kendi iddialarına göre 2004’ten beri faaliyet gösteren bu botnet, haftalık olarak ortalama 1.000 benzersiz Nesnelerin İnterneti (IoT) ve Son derece (EOL) cihazlarını kullandı ve bunları çevrimiçi anonimlik arayan kötü amaçlı aktörler için vekillere dönüştürdü.
.png
)
Botnet, öncelikle konut IP alanında olmak üzere takılmamış ve desteklenmemiş cihazlardan yararlanarak, reklam sahtekarlığı, dağıtılmış hizmet reddi (DDOS) saldırıları, kaba kuvvet saldırıları ve veri sömürüsü gibi bir dizi yasadışı faaliyet sağladı.
Enfekte cihazların yarısından fazlası Amerika Birleşik Devletleri’nde, Kanada ve Ekvador’da önemli bir kurban sayımı ile bu tehdidin küresel erişimini vurguladı.
İşbirliği Criminal Proxy hizmetini hedefler
Küresel omurgasından telemetri kullanan Lumen’in Black Lotus laboratuvarları, Botnet’in komuta ve kontrol (C2) altyapısını Türkiye merkezli beş sunucuya (Türkiye) izledi.
Bu sunuculardan dördü, 80 numaralı bağlantı noktasında HTTP üzerinden kurbanlarla iletişim kurarken, beşinci bir UDP’yi 1443 numaralı bağlantı noktasında, sadece veri almak için, mağdur bilgilerini depolamak için kullandı.
Botnet ağırlıklı olarak küçük ofis/ev ofisi (SOHO) ve IoT cihazlarını hedefledi, operatörlerin ortalama bir haftadan fazla aktif botları korumasına izin veren sıfır gün kusurları yerine iyi bilinen, eski güvenlik açıklarından yararlandı.
Dikkat çekici bir şekilde, bu vekillerin sadece% 10’u, geleneksel ağ izleme sistemlerinden kaçınma yeteneklerini gösteren Virustotal gibi araçlarla kötü niyetli olarak işaretlendi.
Hizmetin “Rent-A-Proxy” modeli, kullanıcılara 24 saatlik süreler boyunca kimlik doğrulaması yapmadan proxy IP’lere ve bağlantı noktalarına doğrudan erişim sağlayarak, Nsocks ve Mevcut olmayanlar gibi diğer kötü şöhretli ağları anımsatan bir taktik sağladı.
Bu açık erişim politikası, operatörler için karlılığında belirsiz olsa da, aktif vekilleri keşfeden herhangi bir kötü niyetli aktör tarafından yaygın istismarın kapısını açtı.
Sofistike ve kaçınma taktikleri ortaya çıkarıldı
Rapora göre, Botnet’in web sitesi 7.000’den fazla vekilden oluşan günlük bir havuza sahip olsa da, Lümen verileri daha düşük bir aktif sayım gösteriyor.
Bununla birlikte, proxy’leri için konut IP’lerinin stratejik seçimi, saldırganların kötü niyetli trafiği meşru aktivite ile harmanlamasına, tespit ve hafifletme çabalarını karmaşıklaştırmasına izin verdi.
Yayından kaldırmanın bir parçası olarak, Lumen, küresel omurgası boyunca bilinen C2 noktalarına ve bilinen C2 noktalarına ve BotNet’in operasyonel çekirdeğini etkili bir şekilde kopararak ağın null’u bozdu.
Operasyon ayrıca, içgörüleri araştırmayı zenginleştiren Spur’dan gelen katkıları da kabul ediyor.
Bu yayından kaldırma, özellikle IoT cihazlarının ve eşleştirilmemiş EOL sistemlerinin çoğalması, siber suçlular için geniş bir saldırı yüzeyi yarattığı için proxy botnets tarafından ortaya çıkan kalıcı tehlikenin altını çiziyor.
Black Lotus Labs, benzer tehditleri izlemeye ve bu ağları engellemek için kolluk kuvvetleri ile işbirliği yapmaya devam ederek, internet ekosistemini bu tür yırtıcı programlardan korumak için sağlam cihaz yaşam döngüsü yönetimine ve gelişmiş güvenlik uygulamalarına yönelik kritik ihtiyacı vurgulamaktadır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir