BitSight kısa süre önce, özellikle dört ülkede bulunan çok sayıda bilgisayar sistemine başarılı bir şekilde sızan gelişmiş bir botnet olan MyloBot’u tespit etti:-
- Hindistan
- Birleşik Devletler
- Endonezya
- İran
Botnet, geniş bir coğrafi aralıkta büyük ölçekte çalışma yeteneğini göstererek binlerce sistemi hedef aldı ve tehlikeye attı.
BitSight raporuna göre, günde benzersiz virüslü sistem sayısında önemli bir düşüş oldu ve bu sayı 50.000’in biraz üzerine düştü. Bu rakam, kötü amaçlı yazılımların bulaştığı benzersiz ana bilgisayarların sayısının 250.000’e ulaştığı 2020’de gözlemlenen zirveden kayda değer bir düşüşü temsil ediyor.
MyloBot’un altyapısına yönelik derinlemesine bir araştırma, bir konut proxy hizmeti olan BHProxies ile bağları ortaya çıkardı.
Bu keşif, botnet’in güvenliği ihlal edilmiş bilgisayar sistemlerini BHProxies’in amaçları için kullandığını ve potansiyel olarak onların bilgisayar güçlerini yasa dışı faaliyetler yürütmek için kullandığını gösteriyor.
Teknik Analiz
İlk olarak 2018’de Deep Instinct tarafından tanımlanan MyloBot, 2017’de tehdit ortamında ortaya çıkan oldukça gelişmiş bir kötü amaçlı yazılımdır.
Bu kötü amaçlı yazılım, güvenlik analistlerinin onun işleyişini tam olarak incelemesini ve anlamasını zorlaştıran anti-analiz teknikleriyle ünlüdür.
Ayrıca, MyloBot bir indirici işlevi görerek, güvenliği ihlal edilmiş sisteme ek kötü amaçlı yazılım veya kötü amaçlı araçlar indirmesini ve yürütmesini sağlar.
MyloBot’un en endişe verici özelliklerinden biri, bir ana sisteme başarılı bir şekilde bulaştığında herhangi bir türdeki yükü indirme ve yürütme yeteneğidir. Sonuç olarak, bir saldırganın herhangi bir zamanda herhangi bir türde kötü amaçlı yazılım indirmesi mümkündür.
MyloBot’un geçen yıl, saldırıya uğramış uç noktalar kullanarak şüphelenmeyen alıcılara şantaj e-postaları gönderdiği mali amaçlı bir kampanya yürüttüğü tespit edildi.
Bu e-postalarda, kötü amaçlı yazılım, Bitcoin olarak 2.700 doların üzerinde bir fidye ödenmediği takdirde halka hassas veya potansiyel olarak utanç verici bilgiler yayınlamakla tehdit etti.
Bot kötü amaçlı yazılımını paketinden çıkarmak ve başlatmak için MyloBot, çeşitli yöntemler kullandığı karmaşık, çok aşamalı bir süreç uygular.
Komuta ve kontrol sunucusu (C2) ile iletişim kurmadan önce iki hafta boyunca devre dışı kalırken, tespit edilmekten kaçınmak için kullanılan bir taktiktir.
MyloBot botnet, kötü amaçlı yazılıma entegre edilmiş, önceden programlanmış bir komuta ve kontrol (C2) etki alanına bağlantı oluşturur ve bu, MyloBot’un en önemli hedefidir.
Bağlandıktan sonra botnet, C2 sunucusundan daha fazla talimat alana kadar uykuda kalır. MyloBot, C2’den bir talimat aldığında virüs bulaşmış bilgisayarı bir proxy’ye dönüştürmekten sorumludur.
Bir sisteme MyloBot kötü amaçlı yazılımı bulaştığında, sistem, botnet’in arkasındaki siber suçlular için güçlü bir araç işlevi görebilir. Ele geçirilen makine, birden çok bağlantıyı işleyebilir ve C2 sunucusu aracılığıyla iletilen trafik için bir geçiş noktası görevi görebilir.
Kötü amaçlı yazılım zaman içinde geliştikçe, daha yeni sürümleri bir C2 sunucusuyla iletişim kuran bir indirici kullanır. Sunucudan şifrelenmiş bir mesaj aldıktan sonra, indirici mesajın şifresini çözer ve MyloBot yükünü elde etmek için bir bağlantıyı kurtarır.
MyloBot kötü amaçlı yazılım yükünü indirmek için bir bağlantı içeren şifreli bir mesaj elde etmek için, MyloBot’un son sürümleri bir C2 sunucusuyla iletişim kuran bir indirici kullanır.
Bu çok adımlı süreç, tespit edilmekten kaçınmak ve botnet’in birden çok sistemde etkili bir şekilde yayılmasını sağlamak için tasarlanmıştır.
Evrim
Yıllar içinde MyloBot ile ilgili gerçekleşen çok fazla değişiklik yok. MyloBot çeşitli yinelemelerden geçmiş olsa da, dikkate değer bir değişiklik, kötü amaçlı yazılım ikili dosyasına sabit kodlanmış komut ve kontrol (C2) alanlarının sayısı olmuştur.
Başlangıçta, C2 alan adlarının sayısı yaklaşık 1000 idi, ancak 2022’nin başından bu yana yalnızca üçe düştü:-
- fywkuzp[.]ru:7432
- kaldırıldı[.]ru:8737
- çatı7[.]ru:8848
Bu değişiklik, botnet’in stratejisinde bir değişikliği veya faaliyetlerini kesintiye uğratma çabalarına bir yanıtı gösterebilir. Görünüşe göre web sitesi bhproxies[.]com ne sunduğuna gelince oldukça açık.
Bu hizmet, Backconnect konut proxy’leri sunar ve Backconnect, dünyanın her yerinden çok çeşitli IP adresleri sunar.
Hizmetleri, müşterilere isterlerse 150.000’e kadar benzersiz adresten oluşan bir IP adresi aralığı ile özelleştirilmiş paketler sağlama becerisini içerir.
MyloBot’un daha büyük bir operasyona potansiyel katılımı, botnet’in C2 altyapısı ile clients.bhproxies etki alanı arasında bir bağlantı olduğunu gösteren bulgularla öne sürüldü.[.]com. İlişki, MyloBot’a bağlı IP adreslerinden birinin ters DNS aramasıyla keşfedildi.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin