2021’in ilk on kötü amaçlı yazılım çeşidinden biri, Glupteba olarak bilinen kötü amaçlı truva atı. Glupteba kötü amaçlı yazılımı, bir sisteme bulaşmak, ek kötü amaçlı yazılım göndermek, kullanıcı kimlik doğrulama verilerini toplamak ve bulaşmadan sonra güvenliği ihlal edilmiş sistemi bir kripto madenciliği botnet’ine eklemek için kullanılabilir.
Nozomi Networks Lab, Glupteba hakkındaki en son araştırmasını ve güvenlik ekiplerinin blok zincirlerindeki suç faaliyetlerini nasıl arayabileceğini tartışıyor.
Glupteba’nın Çalışması Kötü amaçlı yazılım
Glupteba adlı bir arka kapı truva atı, yazılım veya uygulamaların, virüslü yükleyicilerin veya yazılım çatlaklarının indirilmesini teşvik eden çevrimiçi pazarlama kampanyaları olan Yükleme Başına Ödeme ağları kullanılarak indirilir.
Botnet operatörleri, Glupteba bir makinede çalışmaya başladıktan sonra hedef ağdaki cihazları tehlikeye atan kitlerden yararlanmak için kimlik bilgisi hırsızından ek modüller kullanabilir.
Ayrıca, MikroTik ve Netgear gibi satıcıların farklı Nesnelerin İnterneti (IoT) cihazlarındaki kusurlardan yararlanmak için tasarlanmış birden fazla Glupteba modülü vardır.
Glupteba, Komuta ve Kontrol (C2) etki alanlarını virüslü sistemlere dağıtmak için Bitcoin blok zincirinden de yararlanır.
Bitcoin blok zinciri, keyfi verileri depolamak için kullanılabilir. Botnet’in istemcileri, Bitcoin cüzdan sunucularını numaralandıran, işlemlerini alan ve AES şifreli bir adresi belirlemek için bunları ayrıştıran C2 sunucu adresini elde etmek için bir keşif işlevi kullanır.
Alt etmelere karşı direnç sunduğu için Glupteba bu taktiği bir süredir kullanıyor. Araştırmacılar, blockchain işlemlerinin geri alınamayacağını, ancak C2 adreslerini kaldırma çabalarının botnet üzerinde çok az etkisinin olduğunu belirtiyor.
“Bitcoin blok zincirinin modern kriptografi üzerine inşa edilme şekli de bu mekanizmayı güvenli kılıyor; Araştırmacılar, Bitcoin adresi özel anahtarı olmadan, kötü amaçlı adresten kaynaklanan böyle bir veri yükü ile işlem gönderilemez, dolayısıyla botnet’i ele geçirmek mümkün değildir” diyor araştırmacılar.
Ana dezavantaj, herkesin halka açık Bitcoin blok zincirine erişebilmesi ve veri elde etmek için işlemleri inceleyebilmesidir.
Nozomi, pasif DNS kayıtlarını kullanarak Glupteba etki alanlarını ve ana bilgisayarları ararken altyapısı hakkında daha fazla bilgi edinmek için kötü amaçlı yazılım tarafından kullanılan en son TLS sertifikaları setini inceledi.
Nozomi araştırmasına göre en sonuncusu Google’ın kesintiye uğramasından altı ay sonra Haziran 2022’de başlayan dört Glupteba kampanyasında 15 Bitcoin adresi kullanıldı ve kampanya halen devam ediyor.
Blockchain işlem şemaları:
Öneri
Araştırmacılar, Glupteba tarafından tanınan C2 alan adlarının yanı sıra blok zincirinin engellenmesini şiddetle tavsiye ediyor[.]bilgi ve ortamınızdaki diğer ilgili etki alanları. Potansiyel bir Glupteba enfeksiyonuna karşı korunmaya yardımcı olmak için, DNS günlüklerini takip etmeniz ve antivirüs yazılımını güncellemeniz önerilir.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin