Trustwave’deki araştırmacılar tarafından toplanan altı aylık verilere göre, saldırganlar kavram kanıtı kodunu kullanarak gerçek dünya saldırılarını hızla tersine çeviriyor ve yayınlanmış araştırmalardan uygulanabilir istismarlar oluşturmak yalnızca günler ila haftalar alıyor.
Deney sırasında Trustwave, beş yaygın kurumsal cihazı taklit eden bal küpleri kurdu ve saldırganların kavram kanıtı (PoC) kodunun yayınlanmasından sonraki altı gün içinde bir güvenlik açığından ve 17 gün içinde başka bir güvenlik açığından yararlanmaya başladığını tespit etti. Genel olarak, araştırmacılar, saldırganların yanı sıra güvenlik uzmanları tarafından İnternet’in yasal olarak taranmasını içeren istismar taramalarının HTTP ve HTTPS isteklerinin %25’ini oluşturduğunu, gerçek saldırıların ise yeni oluşturulan sunuculara yönelik trafiğin %19’unu oluşturduğunu buldu. Neredeyse tüm saldırılar üç özel botnet’ten geldi: Mozi, Mirai ve Kinsing.
Trustwave güvenlik araştırmalarından sorumlu başkan yardımcısı Ziv Mador, şirketlerin, saldırganların herhangi bir yama üzerinde tersine mühendislik uygulayabileceklerini ve konsept kanıtı olmasa bile kendi açıklarını geliştirebileceklerini varsaymaları gerektiğini söylüyor.
“Yeni keşfedilen güvenlik açıklarının sürekli akışının farkında olmak, proaktif önlemler almak ve tehdit aktörlerinin fırsat penceresini en aza indirmek için yamaları derhal uygulamak çok önemlidir” diyor.
Araştırma, yalnızca saldırganların istismar kodunu hızla kullandığını değil, aynı zamanda saldırıların mevcut botnet altyapısına bağlanarak hızla otomatikleştirildiğini de vurguluyor. Araştırmacıların bal küplerinden yararlanmaya çalışan trafiğin %19’unun %73’ü Mozi botnet’inden, %14’ü Kinsing botnet’inden ve %9’u Mirai botnet’inden geldi.
Her üç botnet de Nesnelerin İnterneti’ne (IoT) ve yönetilen dosya sunucuları, posta sunucuları, ağ geçitleri ve operasyonel teknolojiyi yöneten endüstriyel kontrol sistemleri gibi uç cihazlara odaklanma eğilimindedir. Örneğin Mozi, ağ geçitlerine ve dijital video kayıt cihazlarına bulaşarak başlayan, ancak ağ geçidi cihazlarındaki güvenlik açıklarından yararlanmak için gelişen eşler arası bir botnet’tir. Mirai botnet’teki son güncellemeler, Tenda ve Zyxel ağ cihazlarındaki hatalardan yararlanma yeteneğini içerir.
Akamai’de güvenlik araştırmacısı olan Allen West, şu anda Mozi’nin mümkün olduğu kadar çok korumasız IoT cihazı bulma çabalarında çok agresif olduğunu söylüyor.
“Güvenlik, IoT cihazlarında geçmişte olduğu kadar öncelikli olmadı, ancak yine de İnternet manzarasının büyük bir bölümünü oluşturuyorlar” diyor. “Trafik gönderebiliyorsa, bot olarak kullanılacak kadar iyidir. Saldırganlar, özellikle de Mirai, bunu kabul etti ve tüm operasyonlarını bu fikir etrafında kurdu.”
Anında Kod Kapma
Araştırmayı yürütmek için Trustwave SpiderLabs’teki siber güvenlik uzmanları, savunmasız kurumsal ağları taklit etmek için altı farklı ülkede beş farklı cihaz (Fortra GoAnywhere MFT, Microsoft Exchange, Fortinet FortiNAC, Atlassian BitBucket ve F5 Big-IP) için bal küpleri kurdu. Araştırmacılar analizlerinde en az 1.100 benzersiz yük dahil olmak üzere 38.000’den fazla IP adresinden veri topladıklarını belirttiler.
Bal küpleri, davetsiz misafirleri istismarlarının işe yaradığına inandırmaya çalışan bir “orta etkileşimli bal küpü” kullanarak saldırganlarla etkileşime girme yeteneğine sahipti. Ancak bal küpleri maskaralığı bu temel seviyenin ötesine taşımadı. Trustwave’den Mador, bir istismar girişiminin ardından, saldırganların saldırının bir sonraki aşamasını indirmek için genellikle _wget_ veya _curl_ çalıştırdığını, ancak bal küpünün komutu çalıştırmak yerine yalnızca bir sonraki aşamayı analiz için indirmeye çalıştığını söylüyor.
Mador, “Honeypot’larımız gerçek anlamda savunmasız uygulamalar olarak yapılandırıldı ve Shodan gibi hizmetlerde bu şekilde ortaya çıktılar” diyor. “Bu tür etkinliklerde yer alan kişiler veya gruplar tarafından yaygın olarak kullanılan birkaç Web kabuğunu başarıyla ele geçirdik, ancak bal küpümüzün orta düzeyde etkileşimli doğası nedeniyle, saldırganların gerçekleştirmiş olabileceği sonraki eylemleri izleyemedik.”
Honeypot’lar, ABD ve Birleşik Krallık’ta yönetilen bir dosya aktarım hizmeti olan Fortra GoAnywhere MFT’ye karşı daha önce bildirilmemiş bir Web kabuğunu yüklemeye çalışan bir saldırı tespit etti. Araştırmacılar ayrıca, PoC istismar kodunun yayınlanmasından sonraki altı gün içinde Fortinet FortiNAC cihazındaki (CVE-2022-39952) bir güvenlik açığını hedef alan saldırılar tespit etti. Diğer saldırılar, Atlassian Bitbucket sunucularını ve F5 Big-IP cihazlarını hedef aldı.
Her Şirketin Bir Bal Küpü Olmalı mı?
Edge ve IoT cihazlarına hızlı bir şekilde yama uygulamak bir öncelik olsa da, kuruluşlar ayrıca PoC açıklarının serbest bırakıldığı veya vahşi ortamda saldırıya uğrayan cihazlara da öncelik vermelidir.
Yine de Mador, şirketlerin kendi bal küplerini kullanmayı düşünmeleri gerektiğini öne sürüyor.
“Mevcut güvenlik önlemleri bu saldırılara karşı yeterli görünürlük sağlamadığında, bir bal küpünün konuşlandırılması dikkate alınması gereken değerli bir seçenek olabilir” diyor. “Bal küpleri, ek savunma katmanları görevi görür, saldırganları cezbeder ve onların taktikleri ve teknikleri hakkında değerli bilgiler sağlar.”