Zaten 2024 yılında, Mirai ile ilgili 5,8 milyon saldırıya karşı başarıyla savunma yaptık ve Mirai ile ilgili bal küpü aktivitesinde bir artış gördük; bunların tümü, yaşlanan yönlendirici sistemlerindeki güvenlik açıklarından yararlanmayı hedefliyordu. Bu saldırılar çarpıcı benzerlikler gösteriyor; bu konuyu bu blogun sonraki bölümlerinde daha ayrıntılı olarak ele alacağız. Bu istismarlar arasındaki ortak noktaları anlayarak, gelecekteki saldırılara karşı savunmamızı daha iyi güçlendirebilir ve ağ altyapımızı potansiyel tehlikelere karşı koruyabiliriz. Bu anlayışı kolaylaştırmak amacıyla, sektörün küçük ve orta ölçekli işletmelere (KOBİ’ler) yönelik saldırılarla ilgili en eksiksiz ve güncel bilgilere sahip olmasını sağlamak amacıyla tehdit istihbaratını sürekli olarak yayınlamaya kararlıyız. Araştırma ekibimiz, müşterilerimizin bu artan tehdide karşı korunmasını sağlamak için ürün portföyümüzde beş imza oluşturdu.
Mirai, kapsamlı botnet’ler oluşturmak için yönlendiriciler ve IP kameralar gibi Nesnelerin İnterneti (IoT) cihazlarını hedef aldığı bilinen önemli bir kötü amaçlı yazılım tehdididir. 2016’da ortaya çıkan Mirai, zayıf varsayılan kimlik bilgilerinden ve güvenlik açıklarından yararlanarak cihazları tehlikeye atıyor ve saldırganlara uzaktan erişim sağlıyor. Güvenliği ihlal edilen bu cihazlar daha sonra büyük ölçekli Dağıtılmış Hizmet Reddi (DDoS) saldırılarını düzenlemek için kullanılıyor ve dünya çapındaki internet altyapısına önemli bir tehdit oluşturuyor.
Mirai’nin Evrim Yolunu İzlemek
Paras Jha, Josiah White ve Dalton Norman tarafından oluşturulan Mirai, botnet alımı için IoT cihazlarının güvenlik açıklarından yararlanmak üzere tasarlandı. İlk olarak Ağustos 2016’da MalwareMustDie araştırmacıları tarafından Brian Krebs’in siber güvenlik sitesine yapılan büyük bir DDoS saldırısı sırasında tespit edildi. Mirai’nin kaynak kodu daha sonra yaratıcıları tarafından Eylül ayında yayınlandı. Bu sürüm, IoT güvenlik endişelerini yoğunlaştıran çok sayıda kötü amaçlı yazılım yinelemesini ortaya çıkardı. En unutulmaz ihlallerden biri, KrebsOnSecurity’ye yapılan benzeri görülmemiş 620 Gbps DDoS saldırısı ve Twitter ve Netflix gibi büyük platformlar için internet hizmetlerini felç eden Ekim 2016 Dyn siber saldırısıydı. 2024 yılında IoT cihazlarına yönelik 13,6 milyon saldırıyı önledik; bu, 2023’e kıyasla %29’luk bir artış anlamına geliyor.
Mirai sistematik bir dizi adımla çalışıyor: savunmasız IoT cihazlarını taramak, giriş kazanmak için varsayılan kimlik bilgileri gibi zayıf noktalardan yararlanmak, onlara bir botnet oluşturacak şekilde virüs bulaştırmak ve güçlü DDoS saldırıları başlatmak. Sürekli olarak yeni hedefler arayarak yayılır ve Şekil 1’de açıklandığı gibi tespit ve hafifletme çabalarından kaçınmak için dinamik olarak uyum sağlar.
Şekil 1: Mirai saldırı zinciri
Bal Küpü İçgörüleri
SonicWall’ın bal küpleri, Mirai’yi yaymak için Zyxel, Netgear, D-Link ve TP-Link gibi yönlendiricilerdeki eski güvenlik açıklarını hedef alan istismarlardan yararlanan Mirai’yi buldu. Bal küpü bulgularından bazılarını saldırı kalıplarındaki benzerlikler üzerinden inceleyelim.
1. Komutların Enjeksiyonu: Her saldırı, hedeflenen cihaza komutlar enjekte etmeye ve çalıştırmaya çalışır. Bu komutlar genellikle ek kötü amaçlı yüklerin indirilmesini, yetkisiz erişime izin verilmesini veya bir şekilde cihazın güvenliğinin tehlikeye atılmasını amaçlar. Örneğin Şekil 1’deki honeypotlarımızdan yakalanan bir pakete wget, chmod ve rm komutları enjekte ediliyor.
Şekil 2: Zyxel USG FLEX 100W Komut Enjeksiyonu (CVE-2022-30525)
2. HTTP/HTTPS İstekleri: Tüm saldırılar, cihazın web arayüzüyle etkileşime girmek veya komutları uzaktan yürütmek için HTTP isteklerini içerir. Hedef cihazlardaki güvenlik açıklarından yararlanmak için URL’leri veya parametreleri değiştirirler. Örneğin, Şekil 2’deki honeypot’larımızdan yakalanan bir paketten, cihazın GetDeviceSettings uç noktasına wget, chmod komutlarını çalıştırmak için http isteği yapılır.
Şekil 3: D-Link Cihazları HNAP SOAPAction-Başlık Komutu Yürütme CVE-2015-2051
3. Komut Dosyalarını İndirme ve Çalıştırma: Honeypot’larımızda bulunan saldırıların çoğu, uzak bir sunucudan cihaza ek komut dosyaları veya ikili dosyalar indirmeyi ve ardından indirilen paketi çalıştırmayı içerir. Bu komut dosyaları genellikle cihazın güvenliğini tehlikeye atmayı veya yetkisiz erişim sağlamayı amaçlayan kötü amaçlı yükler içerir. İncelediğimiz indirilen scriptlerin tümü Mirai’yi yaymaya devam ediyor. Örneğin Şekil 3’teki honeypot’larımızdan yakalanan bir paketten Mozi.m betiği indiriliyor ve çalıştırılıyor.
Şekil 4: NETGEAR DGN Cihazlarının Uzaktan Komut Yürütmesi
4. İşletim Sistemi Komutları: Mirai tarafından yürütülen komutlar genellikle cihazın işletim sistemini değiştirmeyi amaçlayan kabuk komutları veya komut dosyalarıdır. Şekil 4’te gördüğünüz gibi bal küplerimizden yakalanan bir paketten indirmek, izinleri değiştirmek ve komut dosyalarını yürütmek için genellikle wget, chmod, rm ve sh gibi komutları içerirler.
Şekil 5: TP-Link Archer AX21 Komut Enjeksiyonu CVE-2023-1389
En Büyük Risk Kimde?
Şekil 6: Mirai’nin Sektöre Göre Başarıları
Her saldırı vektöründen tüm sektörler aynı şekilde etkilenmez. Dünya çapında 1 milyondan fazla sensörümüz tarafından sağlanan verileri inceleyerek, Şekil 6’da görebileceğiniz gibi, Mirai botnet’inden en çok hangi sektörlerin etkilendiğini belirleyebiliriz. Mirai saldırılarından en çok emlak ve kiralama işletmeleri etkileniyor gibi görünüyor, Veriler, saldırıların %86,09’unun mülk yönetimi sistemlerini tehlikeye atmaya odaklandığını gösteriyor. Finans ve sigorta sektörleri de önemli sayıda saldırıya maruz kalıyor; saldırıların yaklaşık %9,65’i potansiyel olarak hassas finansal verileri açığa çıkarmayı ve çevrimiçi bankacılık hizmetlerinde aksamalara neden olmayı amaçlayan finans sektörüne odaklanıyor. Toptan ticaret (%1,88) ve profesyonel, bilimsel ve teknik hizmetler (%1,49) sektörleri de tedarik zinciri kesintileri ve ağların tehlikeye girmesiyle karşılaşabilecekleri için bu durumdan muaf değil.
Tanımlama ve Azaltma
Hem güvenlik duvarlarımız hem de bal küplerimiz tarafından görülen son veriler, IoT cihazlarının kötü amaçlarla kullanılmasını önlemek için acilen güvenlik altına alınması gerektiğinin altını çiziyor. Bahsedilen güvenlik açıklarının her biri, çeşitli üreticilerin farklı yönlendirici ürünlerini etkilese de, bunların Mirai gibi kötü amaçlı yazılımlardan yararlanmaya açık olmasına katkıda bulunan bazı ortak faktörler vardır. Bu faktörleri anlamak, bu tür saldırıların önlenmesine ve tespit edilmesine yardımcı olabilir.
1. Firmware Sorunları: Bu güvenlik açıklarının çoğu, yönlendiricilerin donanım yazılımındaki zayıflıklardan kaynaklanmaktadır. Ürün yazılımındaki güvenlik açıkları, kötü kodlama uygulamaları, yetersiz test veya bildirilen güvenlik sorunlarının derhal ele alınmaması nedeniyle ortaya çıkabilir.
2. Güvenli Olmayan Web Arayüzleri: Birçok güvenlik açığı, yönlendiricilerin, kullanıcıların ayarları yapılandırmasına ve cihazı yönetmesine olanak tanıyan web arayüzlerini içerir. Kimlik doğrulama mekanizmalarındaki zayıflıklar veya hatalı giriş doğrulama, uzaktan kod yürütülmesine veya komut enjeksiyonuna yol açabilir.
3. Kabuk Meta Karakterleri: Kullanım genellikle kullanıcı tarafından sağlanan giriş alanlarında kabuk meta karakterlerinin kullanımını içerir. Bu meta karakterler, saldırganların komut yürütmeyi değiştirmesine olanak tanıyarak yönlendiricide rastgele komutlar yürütmelerine olanak tanır.
4. Gecikmiş veya Yama Eksikliği: Çoğu durumda, Mirai ve benzeri kötü amaçlı yazılımların kullandığı güvenlik açıkları daha önce açıklanmıştı, ancak aygıt yazılımı güncellemelerinin gecikmesi veya eksik olması nedeniyle yönlendiricilere yama uygulanmamıştı. Bu, düzeltmeler mevcut olsa bile cihazları istismara açık hale getirir.
Varsayılan Yapılandırmalar: Varsayılan kullanıcı adları ve parolalar da dahil olmak üzere varsayılan yapılandırmalar genellikle saldırganlar tarafından hedef alınır. Kullanıcılar bu varsayılan kimlik bilgilerini değiştirmezlerse saldırganlar yönlendiriciye kolayca yetkisiz erişim sağlayabilir.
Müşterilerin bu güvenlik açıkları nedeniyle oluşabilecek her türlü istismara karşı hazırlıklı olmalarını sağlamak amacıyla, bu tür saldırıları tespit edip önleyebilecek aşağıdaki imzalar yayımlanmıştır:
- IPS 18387 D-Link DIR-645 HNAP SOAPAction Başlığı Komut Enjeksiyonu
- IPS 15761 Zyxel USG FLEX 100W Komut Enjeksiyonu
- IPS 13034 NETGEAR DGN Cihazları Uzaktan Komut Yürütme
- IPS 15864 TP-Link Archer AX21 Komut Enjeksiyonu
- GAV Mirai
Geleneksel imzalara ek olarak, Yönetilen Hizmet Sağlayıcıları (MSP’ler), küçük işletmelerin Mirai botnet saldırılarına karşı korumasını önemli ölçüde artırabilir. Tam ağ görünürlüğü ve proaktif tehdit algılama yetenekleriyle ağlarındaki saldırgan davranışlarını belirlemek için insan güvenlik katmanını dağıtabilirler. MSP’ler, çok katmanlı bir savunma stratejisi sunarak küçük işletmelere Mirai botnet gibi gelişen siber tehditlere karşı savunmak için gereken uzmanlığı ve kaynakları sağlar.
Mirai’nin “Mirai”si (Gelecek)
Veriler, Mirai ve çeşitlerinin gelişmeye devam ederek daha karmaşık ve tehlikeli hale geleceğini gösteriyor. Bu botnet’lerin, IoT cihazlarındaki güvenlik açıklarından yararlanmak için özel olarak tasarlanmış yeni teknikleri içermesi muhtemeldir ve bu da onları çok çeşitli hedeflerden ödün vermede daha etkili hale getirir. Ayrıca bu tehditlerin, geleneksel güvenlik önlemlerini atlatmak için gelişmiş kaçınma taktikleri kullanmasını, tespit ve hafifletme işlemlerini daha zorlu hale getirmesini de bekleyebiliriz. Ek olarak, özellikle 5G’nin sınırlı sayıda gözden geçirilmiş donanım yazılımına sahip daha fazla cihazın ağa bağlanmasına izin vermesi nedeniyle, bu saldırıların hedef yüzeyinin önemli ölçüde genişlemesi bekleniyor. Teknoloji ilerledikçe Mirai, akıllı ev cihazları, endüstriyel IoT sistemleri ve kritik altyapı dahil olmak üzere yeni gelişen teknolojilere odaklanacak gibi görünüyor.
Mirai ve benzeri tehditlere karşı korunmak çok yönlü bir yaklaşım gerektirir. Cihaz üreticileri, sağlam kimlik doğrulama ve düzenli güncellemeler sağlayarak tasarımlarında güvenliğe öncelik vermelidir. Kullanıcıların bilinen güvenlik açıklarını azaltmak için yamaları derhal uygulaması gerekir. Ağ bölümlendirmesi ve sıkı erişim kontrollerinin uygulanması Mirai saldırılarının etkisini sınırlayabilir. İzinsiz Giriş Tespit Sistemleri (IDS) ve İzinsiz Giriş Önleme Sistemleri (IPS) aracılığıyla yapılan davranış analizi, erken tespite yardımcı olurken trafik izleme, Dağıtılmış Hizmet Reddi (DDoS) saldırılarının tanımlanmasına yardımcı olur. Yönetilen Hizmet Sağlayıcıları (MSP’ler), uyarıları izleme ve bu tür saldırıları belirleme konusunda çok değerlidir. Tehdit istihbaratı paylaşımı yoluyla iş birliği, toplu savunmayı geliştirir ve kullanıcıları IoT cihazlarının güvenliğini sağlama konusunda eğitmek, önleme açısından çok önemlidir.
Reklam