Mirai botnet’leri, özellikle IoT cihazlarına ve sunucularına yönelik dünya çapında DDoS saldırılarında önemli bir rol oynamıştır. Mirai, Ağustos 2016’da keşfedildi ve potansiyel hizmet reddi saldırıları ve büyük ağı nedeniyle birkaç kez manşetlere çıktı.
Mirai botnet’leri ağlarında binlerce tehlikeye atılmış cihaza sahipti ve zayıf varsayılan parolaları ve bilinen güvenlik açıklarını kullanarak IP kameralar ve ev yönlendiricileri gibi tüketici cihazlarını hedef aldı. Diğer birkaç varyantın da Mirai botnet’ine benzer kaynak kodları vardı.
Ancak Mirai botnetinin Komuta ve Kontrol sunucusunda, tehdit aktörünün hizmet reddi saldırısı gerçekleştirmesine olanak tanıyan yeni bir güvenlik açığı keşfedildi.
DDoS Sunucusuna Yönelik DoS Saldırısı
Botnet’in temel altyapısı tamamen binlerce tehlikeye atılmış zombi bilgisayarın kontrol edilebildiği C2 sunucularına bağlıdır. “Jacob Masse” adlı bir araştırmacı tarafından keşfedilen güvenlik açığı, bu hizmet reddi saldırısının CNC sunucusundaki uygunsuz oturum yönetimi nedeniyle var olduğunu belirtmektedir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Ayrıca araştırmacı, bu saldırıyı başlatmak için herhangi bir kimlik doğrulamasının gerekmediğini ve bunun kolayca istismar edilebileceğini belirtti. Bu saldırı senaryosu, kolluk kuvvetleri veya güvenlik araştırmacıları tarafından CNC sunucularını çalışmaz hale getirmek için de kullanılabilir ve bu da botnet’in parçalanmasıyla sonuçlanabilir.
Bu güvenlik açığından yararlanmak, sunucunun oturum ara belleğinin aşırı yüklenmesini içerir ve bu, birden fazla eş zamanlı bağlantı yapıldığında düzgün bir şekilde işlenmez. Ayrıca, bu saldırı, bir kimlik doğrulama girişimi açıldıktan sonra birden fazla eş zamanlı bağlantı girişiminin düzgün bir şekilde işlenmediği önceden kimlik doğrulama aşamasında gerçekleşir.
Bu durumda, bir tehdit aktörü kök kullanıcı adıyla kimlik doğrulama istekleri göndererek CNC sunucusunda birden fazla bağlantı açabilir. Sunucu bu bağlantı girişimlerini yönetemez ve bu da kaynak tükenmesine ve sunucu çökmesine neden olur.
Sömürünün Etkileri
Bu güvenlik açığı istismar edilirse, saldırgan botnet faaliyetlerini bozabilir ve bu da botnet ile ilişkili tehdidi etkisiz hale getirebilir. Karanlık tarafta, ağın stres testini yapmak amacıyla bir botnet ortamı dağıtan kuruluşlar da bu güvenlik açığından faydalanabilir ve bu da potansiyel olarak veri bozulmasına ve operasyonların bozulmasına yol açabilir.
Ayrıca araştırmacı bir kavram kanıtı videosu yayınladı. POC videosu, Demo Mirai botnet ortamını hedefleyen 1 CPU çekirdeği, 1 GB RAM ve 25 GB Depolama sunucusunun kullanımını içeriyor. Kavram kanıtı koduna bu bağlantıdan ulaşılabilir.
Jacob Masse, “Gösterilen açığın başarısı, CNC’yi çevrimdışı bıraktığını ve çalıştırmak için büyük bir sunucuya ihtiyaç olmadığını kanıtladı” diye ekledi.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial