Araştırmacılar, endüstriyel yönlendiricilerdeki 0 günlük güvenlik açıklarından yararlanan “Gayfemboy” adlı gelişmiş bir botnet’i ortaya çıkardı.
İlk olarak Şubat 2024’te XLab’daki siber güvenlik uzmanları tarafından tanımlanan bu botnet, olağanüstü dayanıklılık ve gelişmiş yetenekler sergileyerek kendisini Mirai’nin kaynak kodundan türetilen tipik kısa ömürlü botnet’lerden ayırıyor.
Ayrıntılı bir raporda Gayfemboy, Mirai köklerinin çok ötesinde gelişmiş, yoğun biçimde değiştirilmiş ve son derece etkili bir botnet olarak tanımlanıyor.
- Geliştirilmiş gizlilik mekanizmaları: Botnet, yazılabilir dizinler oluşturarak ve sistem savunmalarını aşarak kötü amaçlı işlemlerini gizler.
- Şifrelenmiş işlevler ve komutlar: Şaşırtıcı bir şekilde, bazı alanlarda düz metin dizeleri mevcut olmaya devam ediyor ve bu, bu ölçekteki bir botnet için alışılmadık bir durum.
- Geliştirilmiş komutlar: Yeni komutlar, kendi kendini güncelleme, hedefli DDoS saldırıları ve savunmasız cihazları tarama gibi gelişmiş işlevlere olanak tanır.
Daha önce bilinmeyen (0 günlük) güvenlik açıklarından yararlanma da dahil olmak üzere, güvenlik açıklarından ileri düzeyde yararlanılması, onu son yılların en önemli tehditlerinden biri haline getirdi.
2024’ün başlarında XLab, yeniden paketlenmiş Mirai varyantını temel alan yeni ortaya çıkan bir botnet tespit etti. Yıl ortasında geliştiriciler, tespitten kaçınmak için UPX polimorfik paketleme ve benzersiz kod değişiklikleri kullanmaya başladı.
Kasım ayında, “Gayfemboy” olarak adlandırılan botnet, Four-Faith endüstriyel yönlendiricilere 0 günlük bir güvenlik açığı (CVE-2024-12856) entegre ederek endüstriyel ve akıllı ev cihazlarına erişimini büyük ölçüde genişletti.
XLab araştırmacıları, etkinliğini takip etmek için birkaç C2 alanını kaydettirdi ve bu da misilleme amaçlı DDoS saldırılarına yol açtı. Aralık ayına gelindiğinde VulnCheck, yönlendiricinin güvenlik açığını kamuya açıklayarak botnet’in büyüyen tehdidine ışık tuttu.
Gayfemboy, her gün faaliyet gösteren 15.000’den fazla aktif virüslü düğümle büyük ölçekli bir botnet’e dönüştü.
Virüs bulaşan cihazlar Çin, ABD, İran, Rusya ve Türkiye dahil olmak üzere çok çeşitli bölgelere yayılıyor.
Enfeksiyon ekosistemi çok çeşitlidir ve hem bilinen hem de bilinmeyen güvenlik açıkları aracılığıyla yönlendiricileri, DVR’leri ve akıllı ev cihazlarını hedef alır.
Gayfemboy Botnet Keşif Tekniği
Botnet’in enfeksiyon stratejisi, 20’den fazla güvenlik açığından ve zayıf Telnet kimlik bilgilerinden yararlanmayı içeriyor.
Botnet, CVE-2014-8361, CVE-2017-17215 ve CVE-2020-9054 gibi bilinen açıkların yanı sıra 0-gün Dört İnançlı endüstriyel yönlendirici (CVE-2024-12856) dahil olmak üzere yayılacak çok sayıda güvenlik açığından yararlanıyor.
Ayrıca Neterbit yönlendiricileri ve Vimar akıllı ev cihazlarındaki açıklanmayan güvenlik açıkları, erişimi genişletmek için silah haline getirildi.
Etkilenen cihazlar, gelişmiş saldırgan yönetimi için türe göre düzenlenir.
Örneğin, Four-Faith yönlendiriciler “faith2” 0 günlük güvenlik açığından, ASUS yönlendiriciler N günlük güvenlik açıklarından ve Kguard ve Vimar cihazlarından tanımlanamayan yöntemlerle yararlanılıyor.
Virüslü Cihazlar
Cihazlar Gayfemboy’un komuta ve kontrol (C2) sunucularına bağlandığında işletim sistemi türü, bulaşma yöntemi ve cihaz ayrıntıları dahil olmak üzere gruplama bilgilerini iletir. Bu bilgi, saldırganların botnet’i verimli bir şekilde yönetmesine olanak tanır. Temel enfeksiyon istatistikleri şunları ortaya koyuyor:
| Grup | Bot IP Sayısı | Enfeksiyon Yöntemi | Etkilenen Cihaz |
|---|---|---|---|
| adtran | 2.707 | Bilinmiyor | Bilinmiyor |
| asus | 2.080 | N günlük güvenlik açıkları | ASUS Yönlendiriciler |
| bdvr7 | 1.461 | N günlük güvenlik açıkları | Kguard DVR |
| gözetleme bağlantısı | 1.422 | Bilinmiyor | Neterbit, LTE, CPE, NR5G Yönlendiriciler |
| inanç2 | 590 | 0 gün (CVE-2024-12856) | Dört Katlı Endüstriyel Yönlendiriciler |
| vimar7 | 442 | Bilinmiyor | Vimar Akıllı Ev Cihazları |
DDoS Analizi: Saldırı Modelleri ve Yetenekler
Şubat 2024’ten bu yana botnet, Ekim ve Kasım aylarında en yüksek aktiviteyle aralıklı saldırılar gerçekleştiriyor.
Saldırı hedefleri çok çeşitli sektörleri kapsıyor ve botnet’in küresel tehdidini ortaya koyuyor.
Araştırmacılar, etkinliğini izlemek için birkaç Gayfemboy C2 alanını kaydettirdi. Buna yanıt olarak botnet, bu alanlara karşı tekrarlanan DDoS saldırıları başlattı.
Araştırmacıların VPS’sini barındıran bulut sağlayıcı, saldırıları tespit ettikten sonra 24 saatten fazla bir süre boyunca trafiği kara delik yaparak yanıt verdi. DDoS korumasının olmaması nedeniyle araştırmacılar alan adı çözümleme faaliyetlerini durdurdu.
Botnet, küresel olarak Çin, ABD, Almanya ve Singapur gibi bölgelerdeki endüstrileri ve kuruluşları hedef alan çok sayıda saldırı başlattı.
Saldırıların sıklığı 2024’ün sonlarında zirveye ulaştı; Ekim ve Kasım aylarında özellikle yüksek bir etkinlik görüldü.
Botnet’in DDoS yetenekleri dikkat çekicidir. Gözlemciler, hacmi 100 GB’a kadar trafik oluşturan saldırıları izledi.
Bu saldırılar genellikle 10-30 saniye sürer ancak hizmetleri kesintiye uğratacak ve hedeflenen sunucuların kara delik yönlendirmesini zorlayacak kadar güçlüdür.
Bir Gayfemboy örneği çalıştırıldığında, keşfedildiğinden bu yana devam eden bir imza özelliği olan “şimdi gittik\n” metnini çıkarır.
Savunma Önerileri
Gayfemboy’un yetenekleri göz önüne alındığında, kuruluşların botnet tehditlerine karşı sağlam siber güvenlik önlemleri alması gerekiyor. Öneriler şunları içerir:
- Yama yönetimi: Bilinen güvenlik açıklarını azaltmak için başta endüstriyel ve akıllı ev yönlendiricileri olmak üzere tüm cihazların en son ürün yazılımı güncellemelerini uyguladığından emin olun.
- Ağ segmentasyonu: Kritik sistemleri botnet’lerin kullanabileceği savunmasız cihazlardan yalıtın.
- DDoS koruması: Yüksek hacimli trafik saldırılarını azaltabilecek DDoS karşıtı çözümler kullanın.
- Düzenli tehdit değerlendirmesi: Etkilenen cihazların ağ trafiğinde neden olduğu olağandışı etkinlikleri tespit etmek için denetimler gerçekleştirin.
Gayfemboy botnet’i, modern botnet operatörlerinin oluşturduğu gelişen tehdidin altını çiziyor. Gayfemboy, Mirai’nin bir kolu olarak mütevazi başlangıcından şu anki karmaşık, büyük ölçekli bir botnet rolüne kadar, saldırganların yeni güvenlik açıklarından yararlanmak ve tespit edilmekten kaçınmak için nasıl sürekli yenilik yaptığının canlı bir örneğidir.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free