Tehdit aktörleri genellikle kripto madenciliği için bulut hizmetlerini kullanırlar, çünkü bu sayede mevcut olan devasa hesaplama kaynaklarını kötüye kullanabilirler.
Bu sayede herhangi bir maliyete katlanmadan madencilik verimliliğini önemli ölçüde en üst düzeye çıkarma olanağına sahip oluyorlar.
Wiz’deki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin kripto madenciliği için Selenium Grid hizmetlerini aktif olarak kullandığını tespit etti.
Kripto Madenciliği İçin Selenium Grid Hizmetleri
Selenium Grid servisleri, kripto madencilere para enjekte etmek için “SeleniumGreed” kampanyasında kullanılıyor.
Grid, varsayılan güvenlik kontrolleri olmadan ana makinelerle tam etkileşime izin veren popüler bir web uygulaması test paketi olan Selenium’un bir parçasıdır.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Çevrimiçi ortamda, çoğu zaman yanlış yapılandırılmış ve kolayca istismar edilebilir durumda olan binlerce açığa çıkmış Selenium Grid örneği keşfedildi.
.webp)
C2 barındırma için ve saldırganlar madencilik havuzu proxy’lerini kullandığından, Selenium WebDriver API’si aracılığıyla tehlikeye atılan düğümler, Python ters kabuklarını ekleyerek değiştirilmiş XMRig madencilerini dağıtır.
Web üzerinde test amaçlı dahili araçların açığa çıkarılmasının tehlikelerini gösteriyor ve Selenium Grid’i kullanmanın uygun güvenlik önlemleri gerektirdiğini vurguluyor.
Saldırganlar, özellikle Chrome ikili yolunun ve add_argument yönteminin ayarlarını kötüye kullanarak, tehlikeye atılmış sistemlerde kötü amaçlı Python komut dosyalarını yürütmek için ChromeOptions kategorisini kullanıyor.
Bu saldırı vektörü, kripto madencileri konuşlandırmanın yanı sıra ters kabukların oluşturulmasını da sağlar. Aşağıda kullanılan tüm teknikleri listeledik:-
- Dosya oluşturma tarihlerinin değiştirilmesi için zaman sınırlaması.
- Kalıcı yürütmeyi sürdürmek için nohup kullanımı.
- Algılanmayı önlemek için “CATS” başlığına sahip özel UPX paketlemesi.
- Diğer saldırganların erişimini kısıtlamak için sudoers dosyasının değiştirilmesi.
Bu kampanya, madencilik havuzu proxy’leri olarak hareket eden payload’ları ve madencileri barındırmak için ele geçirilen meşru hizmetlerden yararlanıyor.
Madenciler, yalnızca saldırganın kontrolündeki sunucularla iletişimi garanti altına alan değişen havuz IP üretimi ve kişiselleştirilmiş TLS parmak izi ile kurulur.
.webp)
Bir yıldan uzun süredir devam eden bu kampanya, açığa çıkan Selenium Grid kurulumlarındaki önemli güvenlik açıklarını ortaya çıkararak, web uygulama test faaliyetleri sırasında güçlü güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.
Bu tür tehditlerin devam eden doğası, bu test araçları arasında uygun yapılandırmanın ve ağ ayrımının sağlanmasının önemini vurgulamaktadır.
Uygun kimlik doğrulaması ve ağ güvenliği olmayan hiçbir Selenium Grid sürümü uzaktan komut yürütülmesine karşı güvende değildir.
“SeleniumGreed” kampanyası öncelikli olarak Selenium v3.141.59’u hedef alıyordu, ancak bu tehdit daha sonraki sürümlerini hedef alacak şekilde gelişebilir. Wiz araştırmacıları, diğer bazı saldırganların saldırılarını daha yeni sürümlere de yöneltebileceğini söyledi.
Bu güvenlik açığı bize, hangi sürümü kullanıyor olurlarsa olsunlar tüm Selenium Grid dağıtımlarının her türlü saldırıya dayanacak kadar güvenli olması gerektiğini hatırlatıyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Harici ağ ve güvenlik açığı tarayıcılarını uygulayın.
- Çalışma zamanı algılamayı kullan.
- Güvenlik duvarıyla ağ güvenliği kontrollerini uygulayın.
- Yalnızca güvenilir IP aralıklarına izin ver.
- Trafiğin yalnızca gerekli uç noktalara gitmesine izin verin.
- Selenium Grid örnekleri için temel kimlik doğrulamayı etkinleştirin.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo