Akamai’den araştırmacılar, kripto madenciliği yapan botnet KmsdBot’u incelemeye devam ettiler ve saldırı akışını incelediler. Saldırıya uğrayan çok sayıda şirket ve bölge nedeniyle KmsdBot’un kiralık bir dağıtılmış hizmet reddi (DDoS) olduğuna inanılıyor.
Akamai araştırmacıları, “İkili dosyayı değiştirmek ve onu kendi komuta ve kontrolümüze (C2) yönlendirmek de dahil olmak üzere KmsdBot ile analiz etmeye ve oynamaya devam ettik, bu da tehdit aktörünün botnet’i çökertmesini izlememize yol açtı”, diyor Akamai araştırmacıları.
Başlıca hedefler arasında lüks markalar ve güvenlik şirketlerinin yanı sıra oyun modifikasyonları Grand Theft Auto V ve Red Dead Redemption 2 ile FiveM ve RedM vardı.
Gözlemlenen IP’lere ve etki alanlarına göre Asya, Kuzey Amerika ve Avrupa kurbanların çoğunluğunu temsil ediyor.
DDoS Saldırılarını Başlatın
Saldırı trafiği analiz edilirken ilk dikkat çeken saldırı “bigdata” olarak anılır ve belirlenen porta 1 Mb POST isteği yapar. İçerik Tipi başlığı URL kodlu olduğunu söylese de yük çöp gibi görünüyor.
Araştırmacılar, bu saldırının, her isteğin gövdesine çok fazla veri göndererek her isteği işlemek için gereken bant genişliği miktarını artırmaya çalıştığını söylüyor. Bu nedenle, bu botnet için en sık kullanılan işlevlerden biridir ve neredeyse tüm DDoS kampanyalarının kullandığı oldukça temel bir özelliktir.
Ayrıca, TCP protokolünün üç yollu el sıkışması, saldırgan tarafından çeşitli bağlantı noktalarında yarı açık bağlantılar oluşturmak için bir SYN taşması kullanılarak kötüye kullanılabilir.
Bu, hedef sunucunun trafik hacmini işlemesini zorlaştırır ve kötü niyetli ve meşru bağlantı istekleri arasında ayrım yapmasını çok daha zorlaştırır.
Tek bir paketin boyutunun genel etkisine odaklanmak yerine, hem boyut hem de biçim olarak normal bir pakete çok benzeyerek standart trafikle karışan bazı standart HTTP(s) POST ve trafik talimatları da vardı.
Burada HTTP tabanlı saldırıların temel amacı, çok sayıda paket göndermektir, bu da bunların meşru trafikten tespit edilmesini ve bir saldırıya karşı savunurken bloke edilmesini zorlaştırır.
Araştırmacılar, “Bu trafiği bir süre gözlemledikten sonra, belirli bir paket boyutuna ulaştıktan sonra, daha küçük bir boyutta başlayacağını ve tekrar büyüyeceğini, bu işlemi defalarca tekrarlayacağını görebiliriz” diye açıklıyor.
Oyun, Lüks Markalar ve Hatta Güvenlik Şirketlerini Hedefliyor
Değiştirilmiş “Grand Theft Auto V” ve “Red Dead Redemption 2” sunucularını barındırmak için kullanılan FiveM ve RedM platformları, sunucu sahiplerinin yeni kurallar oluşturmasına ve sunucuya bağımsız oyunda olmayan yeni öğeler eklemesine olanak tanır.
Akamai, “Gözlenen IP’ler ve etki alanlarına göre Asya, Kuzey Amerika ve Avrupa’da büyük bir hedef yoğunluğu tespit edildi”
Son söz
KmsdBot birkaç dikkate değer nedenden dolayı ilgi çekiciydi: Go’da yazılmıştı, kripto madenciliği işlevine sahipti ve görünüşte düzensiz hedefleri vardı.
Akamai araştırmacıları, KmsdBot’un özellikle kullanılan dil açısından bazı genel eğilimleri takip ettiğini fark ettiler. Kötü amaçlı kod, Go ve hatta derlenmiş Python da dahil olmak üzere çeşitli dillerde hızla oluşturulmaktadır.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin