Siber Suçlar , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Stresser/Booter Hizmetinin Mirai Tabanlı Botnet Örneği Yalnızca Tek Bir Kusurla Yayılıyor
Mathew J. Schwartz (euroinfosec) •
21 Haziran 2023
Condi adlı Mirai tabanlı bir botnet aracılığıyla web sitesi kesintilerini satan bir vurgulayıcı/önyükleyici hizmeti, yama uygulanmamış bellenim çalıştıran tüketici sınıfı Wi-Fi yönlendiricilerini hedefleyen en yenisidir.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Bir tehdit aktörü, Mayıs 2022’de başlatılan bir “Condi Network” Telegram kanalı aracılığıyla Condi botnet’in reklamını yaptı ve siber güvenlikteki güvenlik araştırmacılarına göre, botnet’in kaynak kodunu satmanın yanı sıra dağıtılmış hizmet reddi saldırıları sunarak hizmetten para kazanıyor. firma Fortinet bildirdi.
FortiGuard Labs araştırma ekibine göre botnet kaynak kodunun son sürümleri, CVE-2023-1389’a karşı savunmasız kalan TP-Link Archer AX21 – diğer adıyla AX1800 – yönlendiricileri hedef alacak şekilde güncellendi. ABD Ulusal Güvenlik Açığı Veritabanına göre hata, “kimliği doğrulanmamış bir saldırganın basit bir POST isteğiyle kök olarak çalıştırılacak komutları enjekte etmesine” izin veriyor.
Hata, 1.1.4 yapı 20230219’dan önceki TP-Link Archer AX21 üretici yazılımı sürümlerinde mevcuttur.
TP-Link kusuru, geçen Aralık ayında Toronto’da düzenlenen Pwn2Own yarışmasında, üç farklı takımın LAN veya WAN üzerinden bağımsız olarak kusurdan yararlanmasıyla kamuoyu tarafından öğrenildi. Ekipler ayrıca Çin merkezli TP-Link’e kusurla ilgili bilgi verdi ve satıcı, kusuru gidermek için Mart ayında cihazın donanım yazılımını güncelledi.
Nisan ayında, Trend Micro’nun Zero Day Initiative araştırmacıları, CVE-2023-1389’un “Mirai botnet cephaneliğine eklendiğini” bildirdi. İlk olarak Doğu Avrupa’daki cihazlar kurban oldu, ancak enfeksiyonlar şimdiden bölge dışına yayıldı.
Mirai Tabanlı Bot Ağları Güç Açma
Mirai’nin çok sayıda sürümü ortalıkta ve yönlendiriciler en önemli hedeflerinden biri olmaya devam ediyor. Geçen ay, güvenlik araştırmacıları, çok sayıda Zyxel ağ cihazında Nisan ayında yayınlanan bir güncellemeyle düzeltilen bir kusurun büyük ölçekte istismar edildiği konusunda uyardı.
Mirai ilk olarak 2016’da, varsayılan veya sabit kodlanmış kimlik bilgilerini kullanarak çok sayıda nesnelerin interneti cihazına bulaşabilecek bir botnet tasarlayan üç oyuncu sayesinde ortaya çıktı. Orijinal Mirai kodlayıcıları 2017’de federal suçlamaları kabul ederken, birisi Mirai kaynak kodunu internete sızdırdı ve o zamandan beri birçok farklı saldırgan onu uyarlamaya ve kullanmaya devam etti.
Botnet’in kaynak kodunu birçok kez yinelemiş olan Condi operatörünü içerirler. Fortinet’in kodu parçalaması, kötü amaçlı yazılımın yalnızca rakip botnet kodunu devre dışı bırakmaya çalışmadığını, aynı zamanda “condi’nin şu anda virüslü bir cihazda çalışan eski sürümlerini seçili sistem işlemleriyle birlikte kapatmayı” amaçladığını ortaya çıkardı. veya sistemi yeniden başlatın, çünkü bu Mirai enfeksiyonunu ortadan kaldıracaktır.
Fortinet araştırmacıları, Condi’nin en son sürümünün “kötü amaçlı yazılım sistem işlemlerini sonlandırırsa muhtemelen ortalığı kasıp kavuracak ve virüslü cihazın düzgün çalışmasını engelleyecek” ciddi hatalarla dolu olduğunu söyledi.
Orijinal Mirai kötü amaçlı yazılımı, kendisini hala varsayılan yapılandırmalarında olan düzinelerce farklı IoT cihazına yayma yeteneğine sahipti. Ardından, Mirai’nin birçok sürümü, çeşitli IoT cihazlarındaki bilinen güvenlik açıklarını hedef alacak şekilde güncellendi.
Numune Hedefi: Tek Kusur
Fortinet araştırmacıları, Condi’nin daha önce doğada görülen sürümlerinin bilinen güvenlik açıklarına sahip cihazların bir listesini hedef alırken buldukları yeni örneğin yalnızca CVE-2023-1389’u taradığını söyledi.
Firma, “Çoğu DDoS botnet’in aksine, bu örnek farklı kimlik bilgileri denenerek yayılmıyor” dedi. “Bunun yerine, açık bağlantı noktaları 80 veya 8080 olan genel IP’leri taramak için Mirai’nin orijinal telnet tarayıcısından değiştirilmiş basit bir tarayıcı yerleştirir – genellikle HTTP sunucuları için kullanılır – ve ardından uzak bir kabuk komut dosyası indirmek ve yürütmek için sabit kodlu bir istismar isteği gönderir. … savunmasız bir TP-Link Archer AX21 cihazıysa, cihaza Condi bulaştıracaktır.”
Fortinet araştırmacılarına göre kötü amaçlı yazılım örneği, Condi Network Telegram kanalına bağlı bir etki alanına bağlı görünen bir komuta ve kontrol ağına ulaşıyor. Bu, Condi kaynak kodunu satın alan ve kendi DDoS botnet sürümünü çalıştıran birine bağlanan bu örnek yerine, bu saldırıların arkasında Condi operatörünün olduğunu gösteriyor.
Araştırmacılar, virüslü yönlendiricilerin uzak kabuk komut dosyasını indirmek için kullandıkları URL’lerin bir listesini ve bilinen iki komut ve kontrol sunucusu adresini yayınladılar; bunların tümü, bu özel Condi örneğine karşı savunma yapmak için bloke edilebilir.