Mirai Tabanlı NoaBot, Linux Cihazlara DDoS Saldırısı Başlattı


Bilgisayar korsanları, savunmasız Nesnelerin İnterneti (IoT) cihazlarından yararlanarak büyük ölçekli Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatmak için Mirai botnet’i kullanıyor.

Mirai’nin güvenliği ihlal edilmiş çok sayıda cihazı toplama yeteneği, saldırganların hedeflenen çevrimiçi hizmetlere veya web sitelerine yönelik olarak aşağıdakileri yapmasına olanak tanır:

Akamai’deki siber güvenlik araştırmacıları yakın zamanda Linux cihazlarına aktif olarak saldıran Mirai tabanlı yeni bir botnet olan “NoaBot”u keşfetti.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

Teknik Analiz

NoaBot, DDoS saldırıları için öncelikli olarak Linux IoT cihazlarını hedefliyor. Mirai botnet’i ilk olarak 2016 yılında tanımlandı ve kaynak kodu kamuya açık olduğundan çeşitli varyantların ortaya çıkmasına neden oldu.

Ancak NoaBot ilk olarak 2023’ün başlarında ortaya çıktı ve şu şekilde gelişiyor:-

Sadece araştırmacılar bile, her iki kampanyayı birbirine bağlayan P2PInfect solucan örneklerinin düşmesine ilişkin birkaç vakayı da kaydetti.

NoaBot, Mirai’nin yeteneklerini yansıtıyor ancak kodunda farklılık gösteriyor. Mirai’nin Telnet tabanlı dağıtıcısının aksine NoaBot, SSH’yi benzersiz bir “merhaba” bağlantısıyla kullanır.

‘Merhaba’ dizesini içeren SSH paketi (Kaynak – Akamai)

İlk örneklerdeki gömülü şarkı sözleri açıklanamasa da, bu botnet’in geliştiricileri sonraki sürümlerdeki şarkı sözlerini kaldırdı.

NoaBot, farklı bir SSH kimlik bilgisi sözlüğü kullanarak ve aşağıdaki gibi ihlal sonrası işlevleri sunarak Mirai’yi değiştirir: –

  • Arka kapıları yükleme
  • Yeni kurbanlara yayılıyor

Mirai’den farklı olarak NoaBot, antivirüs tespitini SSH tarayıcıya veya genel trojan imzalarına dönüştürmeye yardımcı olan uClibc ile derlenmiştir ve aşağıdaki şeyler tersine mühendisliği karmaşık hale getirir: –

  • Statik olarak derlenmiş
  • Sembolden arındırılmış
  • Dizeleri gizler

Daha yeni örnekler, crontab girişi yoluyla kalıcılık için “noa” da dahil olmak üzere komut satırı argümanları sunar. Antivirüs tespitlerindeki “Noa-” öneki, yaygın kullanımı ve ihlal sonrası operasyonların evrimini akla getiriyor.

Madenci, yürütmeden önce konfigürasyonları çıkaran, kendi kendine derlenen bir XMRig çeşididir. Ancak aşağıdaki şeyleri kullanmak yerine madencilik mantığından önce kodu tanıtıyor:

XMRig yapılandırması genellikle aşağıdakileri ortaya çıkarır:

  • Madencilik havuzu ayrıntıları
  • Cüzdan adresleri

Bunun dışında tehdit aktörleri, komut satırını dinamik olarak değiştirerek ve etki alanı çözümlemesi için Google’ın DNS’si ile iletişim kurarak havuz ayrıntılarını şifreleyerek tespitten kaçınırlar.

2023’te küresel olarak 849 kaynak IP bal küplerine saldırdı ve Çin’deki önemli bir sıcak nokta tüm saldırıların %10’una katkıda bulundu.

NoaBot saldırı kaynaklarının küresel coğrafi konum ısı haritası (Kaynak – Akamai)

2023’te 849 farklı IP adresi bal küplerine çarptı. Coğrafi konum verilerine göre küresel faaliyetleri oldukça eşit bir şekilde dağılmış durumda. Yazılımın solucan olabileceği göz önüne alındığında, her yeni kurbanın aynı zamanda bir saldırgan haline gelmesi de mantıklıdır. Öte yandan Çin, tüm aksiyonun öne çıktığı yer.

Öneriler

Ağların güvenliğini sağlamak için siber güvenlik araştırmacıları şunları önermektedir:

  • SSH erişimini sınırlayın.
  • Her zaman güçlü şifreler kullanın.
  • Varsayılan veya kullanılmış şifreleri kullanmayın.
  • GitHub yardım korumasında paylaşılan kötü amaçlı yazılım kimlik bilgisi kümeleri.
  • Kötü amaçlı yazılımı tespit etmek için ikili adları, işlem adlarını ve cron işlerini izleyin.
  • Depodaki IOC CSV dosyalarına ve YARA imzalarına erişin.
  • Ortamları Infection Monkey yapılandırmasıyla test edin.
  • Daha güçlü kimlik bilgilerine karşı savunmaları değerlendirmek için cryptojacking eklentisini kullanın.

Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin – Ücretsiz Demo



Source link