Mirai botnet’in bir çeşidi, dağıtılmış hizmet reddi (DDoS) saldırıları da dahil olmak üzere ağ tabanlı saldırılar gerçekleştirebilen bot ağlarına popüler Linux tabanlı sunucular ve Nesnelerin İnterneti (IoT) donanımı eklemek için dört farklı cihaz güvenlik açığından yararlanıyor.
Palo Alto Networks’ün 42. Birimindeki bir ekip, IZ1H9 olarak adlandırılan değişkenin 10 Nisan saldırısında kullanıldığını gözlemledi ve bu saldırıda açıklardan yararlandı: iki komut enjeksiyon güvenlik açığı — Tenda G103 cihazlarını etkileyen CVE-2023-27076 ve CVE-2023- LB-Link cihazlarını etkileyen 26801; iki uzaktan kod yürütme (RCE) hatası, DCN DCBI-Netlog-LAB’yi etkileyen CVE-2023-26802 ve Zyxel cihazlarını etkileyen CVE’siz bir diğeri.
Araştırmacılar, IZ1H9 varyantı esas olarak DDoS saldırılarına eğilimli görünse de, açıklardan yararlanmaların nihayetinde RCE’ye yol açabileceğinden, enfeksiyonun etkisinin potansiyel olarak daha ciddi olabileceğini söyledi.
Gerçekten de Stephen, “RCE, işletmelerin deneyimlemek istemedikleri şeyler listesinin oldukça üst sıralarında yer alıyor” diyor. Güvenlik firması Horizon3.ai’de baş güvenlik konusu uzmanı olan Gates, Dark Reading ile bir e-posta röportajında. “Bunun anlamı, savunmasız cihazların saldırganlar tarafından kolayca, genellikle uzun süreler boyunca ele geçirilmesi ve sonunda kalıcı tehditler haline gelmesidir.”
Şunu ekliyor: “Hiçbir kuruluş, ağlarındaki IoT cihazlarının başkalarına, hatta bu faaliyet hakkında hiçbir bilgisi olmadan kendilerine saldırmak için kullanılmasını istemez.”
Unit 42 araştırmacıları, IZ1H9’un Kasım 2021’den bu yana birden fazla saldırıda bir tehdit aktörü veya aynı aktör grubu tarafından kullanıldığını gözlemlediler, ancak kötü amaçlı yazılım 2018’den beri bir şekilde ortalıkta dolaşıyordu.
Yakın tarihli çok sayıda saldırı için aynı aktöre atfedilmeleri, olaylarda kullanılan neredeyse aynı kötü amaçlı yazılım kabuğu komut dosyası indiricileri de dahil olmak üzere çeşitli faktörler tarafından desteklenmektedir. Ayrıca botnet örnekleri, neredeyse aynı işlevleri kullanan saldırılardan, hem bir XOR şifre çözme anahtarını hem de aynı altyapıyı paylaştıklarını keşfetti.
IZ1H9 Siber Saldırılar ve Kötü Amaçlı Yazılım Analizi
10 Nisan saldırısında, saldırganlar IP 163.123.143’ten bir kabuk komut dosyası indiricisi lb.sh’yi indirmeye ve çalıştırmaya çalışırken, araştırmacılar tehdit avlama sistemlerinden anormal trafik gözlemlediler.[.]126. Araştırmacılar, yürütülürse, kabuk betiği indiricisinin izlerini gizlemek için önce günlükleri sileceğini, ardından farklı Linux mimarilerini barındırmak için bir dizi bot istemcisini konuşlandırıp çalıştıracağını söyledi.
Saldırının son adımında, kabuk betiği indiricisi, cihazın iptable kurallarını değiştirerek SSH, telnet ve HTTP dahil olmak üzere birçok bağlantı noktasından ağ bağlantısını engeller, böylece kurban, güvenliği ihlal edilmiş cihaza uzaktan bağlanamaz ve onu kurtaramaz. , dediler.
Araştırmacılar, IZ1H9’un önce, hükümet ağları, İnternet sağlayıcıları ve büyük teknoloji şirketleri dahil olmak üzere bir IP blokları listesinin yürütülmesini önlemek için virüslü cihazın IP adresinin ağ bölümünü kontrol ettiğini söyledi.
Gates, bu davranışı uzun ömürle ilgilenen bir tehdit grubunun göstergesi olarak görüyor. “Bu, bot yöneticilerinin, uzun vadeli çalışmaya devam edebilmek ve faaliyetlerini durdurmaya odaklanabilecek olanların radarı altında kalabilmek için bu ağlardan kaçınmak istediklerini gösteriyor” diyor.
Araştırmacılar, botnet istemcisinin varlığını görünür kılmak için konsola “Darknet” kelimesini yazdırdığını ve cihazın kötü amaçlı yazılımın yalnızca bir örneğini çalıştırmasını sağlayan bir işlev içerdiğini söyledi. Halihazırda bir botnet işlemi varsa, botnet istemcisi mevcut işlemi sonlandırır ve yenisini başlatır.
Araştırmacılar, botnet istemcisinin ayrıca diğer Mirai varyantlarına ve diğer botnet kötü amaçlı yazılım ailelerine ait işlem adlarının bir listesini içerdiğini ve virüs bulaşmış ana bilgisayarda çalışan işlem adlarını sonlandırmak için kontrol ettiğini söyledi.
Mirai-Variant Botnet Tehditini Azaltma
Mirai, 2016’da kaynak kodu sızdırıldığından beri, kötü şöhretli bir dizi varyant ortaya çıkardı; bunlardan biri, çeşitli cihazlarda saldırı gerçekleştirmek için dokuz güvenlik açığından yararlanabilen ve diğeri, BotenaGo, 30’a kadar yararlanabilen. araştırmacılar, altyapılarında güvenlik açığı bulunan cihazlara sahip herkesin, mümkün olduğunda mevcut yamaları uygulamak için bunları yazılımın en son sürümüyle güncellemelerini tavsiye etti.
Araştırmacılar ayrıca, kuruluşların güvenlik açıklarını gerçek zamanlı olarak tespit etmek için makine öğreniminden yararlanan gelişmiş güvenlik duvarı ve tehdit korumasının yanı sıra komut ve kontrol etki alanlarını ve kötü amaçlı yazılım barındıran URL’leri engellemek için gelişmiş URL filtreleme ve DNS güvenliği ile ağlarını koruyabileceğini söyledi. .
Ayrıca Gates, halka açık cihazlarda 80 (HTTP), 22 (SSH) ve 23 (TELNET) bağlantı noktalarının engellenmesinin bu tür saldırıları hafifletmek için çok kolay olması gerektiğini belirtiyor.
“İnternet’ten tamamen erişilebilir olmasalar bile, bu bağlantı noktalarından birini herhangi bir cihazda asla açık bırakmazdım” diyor. “Kuruluşlar onları erişilebilir bıraktığında, doğrudan botnet sorununa katkıda bulunuyorlar.”
Gates, bu senaryonun düzeltilmesiyle ilgili önemli bir sorunun, IoT cihaz üreticilerinin bu bağlantı noktalarını cihazlarda genellikle montaj hattının hemen dışında açık bırakmalarıdır ki bu “tamamen ihmal”dir, diyor Gates. Aslında, “bu IoT üreticilerini cihazlarının botnet’e bulaşmasından ve ardından başkalarına saldırmak için kullanılmasından sorumlu tutacak” uluslararası bir yönetim organı olması gerektiğine inanıyor.
“Üreticilerin ürettikleri ve başkalarına sattıkları cihazların güvenliğini sağlamalarının tek yolu bir tür ceza gibi görünüyor.”