RapperBot kötü amaçlı yazılımının yeni örnekleri, Fortinet FortiGuard Labs’deki güvenlik araştırmacıları tarafından bulundu. Tehdit aktörleri, oyun sunucularına DDoS saldırıları başlatmak için onları hedefleyen bir DDoS botnet oluşturmak için bu örnekleri kullanıyor.
RapperBot, Mirai tabanlı bir botnet’tir ve Mayıs 2021 itibarıyla bu botnet çalışır durumda ancak ulaşmaya çalıştığı hedefleri tam olarak belirlemek zor.
RapperBot’un en son çeşidi, kendi kendine yayılma için Telnet tabanlı bir mekanizma kullanır. Benzer bir yaklaşım, orijinal Mirai kötü amaçlı yazılımı tarafından kendini yaymak için kullanıldı ve bu mekanizmanın kullanımı, bu yaklaşımı yakından taklit ediyor.
RapperBot Profili
- Etkilenen Platformlar: Linux
- Etkilenen Kullanıcılar: Herhangi bir kuruluş
- Etki: Uzaktaki saldırganlar savunmasız sistemlerin denetimini ele geçirir
- Önem Düzeyi: Kritik
Botnet’in en son sürümünde bulunan DoS komutları, çevrimiçi oyunları barındıran sunuculara saldırmak için özel olarak tasarlanmıştır. Sonuç olarak, Fortinet’in bildirdiğine göre, mevcut kampanyayı ilk etapta oluşturmaya neyin motive ettiğini görmek daha net.
Yeni keşfedilen değişkende, botnet’in işleyişinin bu yönünün geçmiş kampanyalardan değişmediğini gösteren birkaç C2 iletişim eseri de bulundu.
Yeni Eklenen Komutlar
Telnet kaba kuvvet saldırılarını desteklemek için eklenen ek komutlara genel bir bakışı aşağıda listeledik: –
- 0x00: Kayıt ol (müşteri tarafından kullanılır)
- 0x01: Canlı Tut/Hiçbir şey yapma
- 0x02: Tüm DoS saldırılarını durdurun ve istemciyi sonlandırın
- 0x03: Bir DoS saldırısı gerçekleştirin
- 0x04: Tüm DoS saldırılarını durdurun
- 0x06: Telnet kaba zorlamayı yeniden başlatın
- 0x07: Telnet kaba kuvvetini durdur
Teknik Analiz
Daha öncekinin aksine, kötü amaçlı yazılım, C2 sunucusundan genel zayıf kimlik bilgilerini kullanarak kaba kuvvet aygıtlarına zayıf kimlik bilgilerinin bir listesini alır.
Kötü amaçlı yazılım, diğer daha az gelişmiş IoT kötü amaçlı yazılımlarıyla karşılaştırıldığında, bu tekniği kullanarak tüm kimlik bilgileri listesini test etmekten kaçınabilir.
Başarılı bir kimlik bilgisi bulma, kimlik bilgileri bulunduğunda 5123 numaralı bağlantı noktası aracılığıyla C2’ye bildirilir. Bundan sonra, algılanan cihaz mimarisine göre birincil yük ikili dosyası getirilir ve kurulur.
En son varyanta kapsamlı DoS saldırısı komutlarının eklenmesi nedeniyle, aşağıdaki gibi komutların eklenmesiyle bu kötü amaçlı yazılımın gerçekte ne olduğu belirlendi:-
- 0x00: Genel UDP taşması
- 0x01: TCP SYN taşması
- 0x02: TCP ACK seli
- 0x03: TCP STOMP seli
- 0x04: GTA San Andreas: Multi Player (SA:MP) çalıştıran oyun sunucularını hedefleyen UDP SA:MP flood
- 0x05: GRE Ethernet akışı
- 0x06: GRE IP seli
- 0x07: Genel TCP taşması
Yukarıda belirtilen komutlar botnet tarafından desteklenir ve DoS saldırılarını başlatmak için kullanılır. Kötü amaçlı yazılımın, HTTP DoS yöntemlerini kullanmasına dayalı olarak özellikle çevrimiçi video oyunlarını barındıran sunucuları hedeflediği görülüyor.
öneriler
IoT cihazlarınızdaki botnet bulaşmalarına karşı bir önlem olarak, bulaşmalarını önlemek için aşağıda listelediğimiz önerileri izlemelisiniz:-
- Firmware’inizin her zaman güncel olduğundan emin olun
- Varsayılan kimlik bilgilerini güvenli, benzersiz, güçlü ve tahmin edilmesi zor bir parolayla değiştirin.
- Parolalarınızı sık sık değiştirin.
- Tanınmış ve sağlam bir antivirüs kullandığınızdan emin olun.
- Mümkünse IoT cihazlarını korunmaları için bir güvenlik duvarının arkasına yerleştirin.
Ayrıca Oku: Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin