Kötü yapılandırılmış Linux ve Nesnelerin İnterneti (IoT) cihazları, bir cryptojacking kampanyasından ödün verme riski altındadır.
Microsoft’taki araştırmacılara göre, kötü yapılandırılmış Linux ve Nesnelerin İnterneti (IoT) cihazları bir cryptojacking kampanyasından ödün verme riskiyle karşı karşıya. Bir sisteme zorla girmeyi içeren saldırılar, kripto para birimi için yasadışı bir şekilde madencilikten kar elde etmek için tasarlanmıştır.
Saldırganlar hedef sistemlerine girdikten sonra, uzak bir sunucudan bir uzaktan oturum açma aracı olan OpenSHH’nin yamalı bir sürümü indirilir. Bu aracın hileli sürümü dağıtıldığında, sistemde olabildiğince uzun süre kalmasını sağlamak için arka kapı ele geçirilmiş sistemlere bakar ve kimlik bilgilerini kaydırır.
Microsoft’un açıkladığı gibi:
Saldırının arkasındaki tehdit aktörleri, bir Güneydoğu Asya finans kurumunun alt alan adının bir komuta ve kontrol (C2) sunucusu olarak kullanılmasını içeren yerleşik bir suç altyapısından yararlanarak, rootkit’ler gibi çok çeşitli araç ve bileşenleri dağıtan bir arka kapı kullanır. Madencilik işlemleri için cihaz kaynaklarını çalmak için IRC botu. Arka kapı ayrıca etkilenen cihazlara OpenSSH’nin yamalı bir sürümünü yükleyerek tehdit aktörlerinin SSH kimlik bilgilerini ele geçirmesine, ağ içinde yatay olarak hareket etmesine ve kötü amaçlı SSH bağlantılarını gizlemesine olanak tanır. Bu saldırının karmaşıklığı ve kapsamı, saldırganların tespitten kaçmak için gösterdikleri çabanın bir göstergesidir.
Sistemdeki bir arka kapı, kaçırılan cihazın bir bal küpü olup olmadığını kontrol eder; araştırmacılar veya başka biri tarafından bir saldırganın gerçek bir sistemi tehlikeye attığını düşünmesini sağlamak için kurulan sahte bir sistem, gerçekte saldırganın yaptığı her şey günlüğe kaydedilir.
Sistemin bal küpü olduğunu tespit ederse, çıkar. Sistemin gerçek olduğunu belirlerse, seçilen bir e-posta adresine veri sızdırma sürecini başlatır. Alınan veriler şunları içerir:
- İşletim sistemi sürümü
- Ağ yapılandırması
- /etc/passwd ve /etc/shadow içerikleri
Açık kaynaklı rootkit’ler, onları destekleyen sistemlere kurulur, kötü amaçlı dosyaları ve arka plan altında gerçekleşen işlemleri daha fazla gizlemek için kullanılır. Etkinlik kayıtları, herhangi bir kötü amaçlı varlığı maskelemek için sistemdeki çeşitli yerlerden kaldırılır ve oturum açma kanıtlarını ortaya çıkarabilecek diğer günlükleri temizlemek için ek araçlar yüklenir.
Yıllar önce, ara sıra reklam yazılımı programlarının, oluşturucusunun tüm reklam gelirini almak için bir PC’den rakiplerini kaldırmaya çalıştığını görürdünüz. Burada, bu saldırıda kullanılan kripto madenciliği araçlarıyla benzer bir şey yaşıyoruz. Madencilik işlemlerini ad ve/veya dosyalara göre tanımlar ve ardından işlemleri sonlandırır veya tamamen engeller. Burada genel bir düzen noktası olarak, sistemlerinizde çok sayıda rakip programın savaşmasını gerçekten istemezsiniz. Kolayca istikrarsız performansa yol açabilir. Dövüşü yapan programların en başta orada olmaması gerekiyorsa daha da kötüsü. Herhangi bir teorik kurala göre oynamayacaklar ve bu nedenle üstünlük elde etmek için ne yapacaklarını tahmin edemezsiniz.
Bu arada, OpenSSH’nin yamalı sürümü meşru sürüm gibi görünecek şekilde tasarlanmıştır ve bu nedenle tespit edilmesi zor olabilir. Ancak hepsi bu kadar değil. Botnet etkinliği de var. Kurulumun bir kısmı, Dağıtılmış Hizmet Reddi (DDoS) özelliklerine sahip açık kaynaklı bir IRC botu kullanır.
Microsoft, bu özel kampanyanın izini, bir hizmet operasyonu olarak ayrılmış kötü amaçlı yazılım olabilecek çeşitli araçlar sunan bir bilgisayar korsanlığı forumunun bir üyesine kadar izlediğini iddia ediyor. İşletim sistemi devinin, bu saldırının işlerini etkilemesinden endişe duyanlar için bazı özel tavsiyeleri var:
- İnternete bakan cihazları saldırılara karşı güçlendirin
- Cihazlar için güvenli yapılandırmalar sağlayın: Varsayılan parolayı güçlü bir parolayla değiştirin ve SSH’yi harici erişimden engelleyin.
- Güncellemelerle cihaz sağlığını koruyun: Cihazların en son üretici yazılımı ve yamalarla güncel olduğundan emin olun.
- En az ayrıcalıklı erişimi kullan: Uzaktan erişim için güvenli bir sanal özel ağ (VPN) hizmeti kullanın ve cihaza uzaktan erişimi kısıtlayın.
- Mümkün olduğunda, OpenSSH’yi en son sürüme güncelleyin.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE