Son zamanlarda, internete yönelik önemli bir protokolden yararlanarak kripto para madenciliği yapmak için kurumsal sistemlere girebilen yeni bir kaçamak kötü amaçlı yazılım parçası keşfedildi.
Araştırmacılar, kötü amaçlı yazılımın DDoS saldırıları başlatma, kurumsal ağlarda yer edinme ve saldırı başlatma yeteneğine sahip olduğunu keşfettiler.
Akamai’nin uzun vadeli güvenliğini ve istikrarını korumak için Güvenlik İstihbaratı Müdahale Ekibi (SIRT) yeni gelişmeleri takip eder, tespit eder, belgeler ve yayınlar.
Teknik Analiz
İstemci ikili dosyası ve ksmdm ikili dosyası için düzeltme kaynağı çıktılarının karşılaştırmasına dayanarak, bunların büyük olasılıkla aynı şey olduğu, kodda küçük farklılıklar olduğu görülüyor.
Redress, Go programlama dilinde tersine mühendisliği kolaylaştırmak için kullanıcıların Go ikili dosyalarındaki yapıları yeniden oluşturmasına olanak tanıyan ücretsiz ve açık kaynaklı bir programdır.
Golang’ın kritik bir araç olarak görüldüğü gerçeği inkar edilemez çünkü giderek artan sayıda saldırganın Golang’ı kendi kötü amaçları için kullandığını görüyoruz.
Akamai raporuna göre bunun nedeni, uygulanma biçiminin bir sonucu olarak bu dili tersine mühendislik yapmanın neredeyse imkansız hale gelmesi olabilir.
Oyun Şirketine Saldırı
KmsdBot tarafından saldırganları cezbetmek amacıyla alışılmadık şekilde açık bir şekilde sallanan bir bal küpü, yapılan tespit sonucunda araştırmacılar tarafından tespit edildi.
Bu yeni kötü amaçlı yazılım, Grand Theft Auto Online gibi popüler oyunlar için özel sunucular barındıran bilgisayarları etkiliyor. Grand Theft Auto Online için özel sunucular barındıran FiveM tarafından tespit edilirken.
Saldırganlar, saldırı sırasında FiveM oturum belirteci kullanarak bir UDP soketi açtı ve datagram protokolünü (UDP) kullanarak bir paket oluşturdu.
Araştırmacılar, bu saldırılara ek olarak, botun daha az spesifik olarak hedeflenen bir dizi başka saldırıda da yer aldığını fark ettiler.
Araştırmacılar tarafından yakın zamanda yapılan bir araştırma, KmsdBot kötü amaçlı yazılımının aşağıdakiler de dahil olmak üzere çok sayıda mimari tarafından desteklendiği için hızla yayıldığı sonucuna varmıştır:
- Winx86
- Arm64
- mips64
- x86_64
Programın komuta-kontrol altyapısı ise sistem ile TCP üzerinden haberleşir.
kripto madencilik
sym.main.randomwallet() işlevinin çıktısına bağlı olarak, bir veya daha fazla kripto cüzdanı kullanıcı hesabı olabilir.
Çeşitli madencilik havuzlarına katkıda bulunmak için bu kişilerin binlerce kişiden oluşan bir havuzdan rastgele seçilmesi mümkündür.
Botnet’i gözlemledikleri süre boyunca uzmanlar tarafından kripto madencilik faaliyeti gözlemlenmedi. Araştırma sırasında uzmanlar, botnet tarafından yalnızca DDoS saldırılarının gerçekleştirildiğini öğrendiler.
Kripto madenciliği faaliyeti, bunu yapabildiğinden bot tarafından başlatılabilir. Buna rağmen, ./ksmdr -o pool.hashvault.pro komutunun olduğu ve ksmdr’nin aslında xmrig ikili dosyasının yeniden adlandırılmış sürümü olduğu bulundu.
Azaltmalar
Bunun gibi bir botnet, güvenlik tehdidinin ne kadar karmaşık hale geldiğine ve yıllar içinde ne kadar geliştiğine dair harika bir örnek sunar.
Bir oyun uygulaması uygulamasının parçası olarak oluşturulan bir bot, büyük lüks markalara saldıran kötü amaçlı bir programa dönüşmüş gibi görünüyor.
Bu tehdidin en dikkate değer özelliklerinden biri nasıl yayıldığı ve sisteme erişim elde etmek için zayıf bir SSH bağlantısı kullanması değil.
Bu sorunların ışığında uzmanlar, kuruluşun sistem ve ağının güvenliğini sağlam tutmak için bazı hafifletme önlemleri geliştirdiler. Ve burada aşağıda onlardan bahsetmiştik: –
- Bir uygulama veya sunucu dağıttığınızda, kimlik bilgilerinizin güçlü olduğundan ve varsayılan kimlik bilgilerini kullanmadığınızdan emin olun.
- Dağıtılan uygulamaları en son güvenlik yamalarıyla güncel tuttuğunuzdan ve hala düzgün çalıştıklarından emin olmak için bunları düzenli aralıklarla kontrol ettiğinizden emin olun.
- SSH’ye bağlanırken ortak anahtar kimlik doğrulaması kullandığınızdan emin olun, çünkü sistemin bu tür bir tehlikeye girmesini önlemenin bunu yapmaktan daha iyi bir yolu yoktur.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin