Go dilini temel alan yeni bir botnet kötü amaçlı yazılım olan GoTrim, yönetici parolasını kaba kuvvet kullanarak web sitesini ele geçirme girişimiyle kendi kendine barındırılan WordPress (WP) siteleri için internette arama yaparken tespit edildi.
İhlal edilen sitelerin modasına bağlı olarak bu güvenlik ihlali, potansiyel olarak milyonları etkileyebilecek aşağıdaki senaryolarla sonuçlanabilir:-
- Kötü amaçlı yazılım dağıtımı
- Kredi kartı çalma senaryolarının enjeksiyonu
- Kimlik avı sayfalarının barındırılması
- Diğer saldırı senaryoları
Fortinet, yer altı siber suçlarında iyi bilinen botnet’i analiz eden ilk siber güvenlik şirketi oldu. Kötü amaçlı yazılım hala geliştirilme aşamasında olsa da şirket, kötü amaçlı yazılımın şimdiden güçlü olduğunu ve büyük bir potansiyele sahip olduğunu kanıtladı.
GoTrim Profili
- Botnet: GoTrim
- Etkilenen Platformlar: Linux
- Etkilenen Kullanıcılar: Herhangi bir kuruluş
- Etki: Uzaktaki saldırganlar savunmasız sistemlerin denetimini ele geçirir
- Önem Düzeyi: Kritik
GoTrim’e git Kötü amaçlı yazılım Saldırı Zinciri
Eylül 2022’de Fortinet, Eylül 2022’de başlayan ve bugün hala devam eden GoTrim olarak bilinen bir kötü amaçlı yazılım kampanyası tespit etti.
Kötü amaçlı yazılımın operatörleri tarafından botnet ağına beslenen geniş bir hedef web siteleri ve kimlik bilgileri listesi vardır. Botnet kötü amaçlı yazılımı, her siteye bağlandıktan sonra, girilen kimlik bilgilerini kullanarak yönetici hesaplarına erişim elde etmek için kaba kuvvet uygulamaya çalışır.
GoTrim bir sitenin ihlal edildiğini tespit ettiğinde oturum açar ve saldırı başarılı olursa bu yeni enfeksiyonu C2’ye bildirir. Bot için bir kimlik de dahildir ve yeni oluşturulan bir MD5 karması şeklini alır.
Daha sonra kötü amaçlı yazılım, kötü amaçlı yazılımı çalıştırmak için tasarlanmış PHP komut dosyalarını kullanarak sabit kodlanmış bir URL’den GoTrim botlarını indirir. Daha sonra betiği ve kaba kuvvet bileşenini silerek virüslü sistemi tamamen temizler.
Botnet tarafından kullanılabilecek iki çalışma modu vardır: –
Beacon istekleri GoTrim tarafından birkaç dakikada bir C2’ye gönderilir ve bu noktada 100 denemeden sonra yanıt gelmezse otomatik olarak kendini sonlandırır.
Kötü amaçlı yazılım Desteklenen Komutlar
Kötü amaçlı yazılımın desteklediği komutların listesi aşağıdadır:
- Sağlanan kimlik bilgilerini WordPress etki alanlarına göre doğrulayın
- Sağlanan kimlik bilgilerini Joomla! etki alanları (uygulanmadı)
- Sağlanan kimlik bilgilerini OpenCart etki alanlarına karşı doğrulayın
- Sağlanan kimlik bilgilerini Data Life Engine etki alanlarına göre doğrulayın (uygulanmadı)
- Alanda WordPress, Joomla!, OpenCart veya Data Life Engine CMS kurulumunu tespit edin
- Kötü amaçlı yazılımı sonlandırın
GoTrim’in amacı, WordPress.com siteleri yerine yalnızca kendi kendine barındırılan web sitelerini hedefleyerek WordPress güvenlik ekibi tarafından tespit edilmekten kaçınmaktır.
Bu olduğunda, “wordpress.com” web sitesinin ‘Referer’ HTTP başlığı kontrol edilir ve bu tespit edilirse web sitesine yönelik hedefli saldırılar durdurulur.
WordPress site sahiplerinin GoTrim tehdidini azaltmak için atabilecekleri birkaç adım vardır; bunlara, yönetici hesaplarında zor zor parolalar uygulamak veya iki faktörlü kimlik doğrulama eklentileri kullanmak dahildir.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin