Gelişmiş bir botnet olan Water Barghest, Shodan gibi halka açık veritabanlarındaki savunmasız cihazları tespit etmek için otomatikleştirilmiş komut dizilerinden yararlanarak IoT cihazlarındaki güvenlik açıklarından yararlanarak bunları bir konut proxy pazarına dahil ediyor.
Cihazın güvenliği ihlal edildiğinde, Ngioweb kötü amaçlı yazılımı gizli bir şekilde kurulur ve böylece komuta ve kontrol sunucularıyla bağlantı kurulur.
Virüs bulaşan cihaz, genellikle 10 dakika içinde hızlı bir şekilde proxy olarak kaydediliyor ve proxy pazarı aracılığıyla anında para kazanmaya olanak tanıyor; bu da Water Barghest’in IoT güvenliğine yönelik oluşturduğu önemli tehdidi vurguluyor.
Savunmasız cihazları ve bunların IP adreslerini tanımlamak için Shodan’ı kullanarak n günlük veya sıfır günlük istismarların elde edilmesiyle başlayarak, savunmasız IoT cihazlarından yararlanma sürecini otomatikleştirir ve ardından veri merkezi IP adreslerini kullanarak saldırılar başlatır.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Başarılı saldırılar, bir C&C sunucusuna kaydolan ve konut proxy sağlayıcısının giriş noktalarına bağlanan Ngioweb kötü amaçlı yazılımının yüklenmesine yol açar.
Güvenliği ihlal edilen bu cihazlar daha sonra bir pazar yerinde konut vekilleri olarak listeleniyor ve Water Barghest için gelir elde ediliyor. Tehdit aktörü, birden fazla çalışanın güvenlik açıklarını taraması ve kötü amaçlı yazılım dağıtmasıyla tutarlı bir operasyon sürdürüyor.
Çok yönlü bir kötü amaçlı yazılım türü olan Ngioweb, ilk olarak 2018’de dağıtım için Ramnit Truva Atı’ndan yararlanan bir Windows botnet’i olarak ortaya çıktı ve 2019’da Linux sistemlerini, özellikle de WordPress destekli web sunucularını hedef alarak platformdaki veya eklentilerindeki güvenlik açıklarından yararlanacak şekilde gelişti.
İki aşamalı bir C&C altyapısı ve özel bir ikili protokol kullanan kötü amaçlı yazılım, çeşitli işletim sistemleri ve web uygulamaları üzerinde uyarlanabilirliğini ve yaygın etki potansiyelini ortaya koyuyor.
Daha sonra işlev işaretçilerini dinamik olarak başlatır, sinyalleri yok sayar, bir çekirdek iş parçacığını taklit edecek şekilde kendisini yeniden adlandırır, standart dosya tanımlayıcılarını kapatır, çekirdek gözlemcisini devre dışı bırakır, aygıtın makine kimliğini okur, AES-256-ECB kullanarak yapılandırmasının şifresini çözer ve DGA etki alanlarını oluşturup çözer. C&C iletişimi.
Ngioweb kötü amaçlı yazılımı, cihazlara bulaşan ve saldırganlarla iletişim kurmak için iki katmanlı bir C2 mimarisi kullanarak onları dönen proxy’lere dönüştüren bir truva atıdır.
İlk aşama C2 sunucusu, DGA çekirdeği, sayısı ve C&C URL yolu gibi yapılandırma parametrelerini sağlar ve C2 sunucusundan ek verileri almak için DNS TXT isteklerini kullanır.
İkinci aşamadaki C2 sunucusu CONNECT, CERT ve WAIT gibi komutlar sağlar ve kurbanın IP adresini konut proxy pazarında satmadan önce kurbanın bant genişliğini tahmin etmek için büyük bir dosya indirir.
Trend Micro’ya göre, bir konut proxy pazarı, Ngioweb kötü amaçlı yazılımı tarafından ele geçirilen ve enfeksiyondan sonra pazara hızla eklenen çok sayıda virüslü IoT cihazına kiralık erişim sunuyor.
Pazar, kullanıcıların trafiği virüslü cihazlar üzerinden yönlendirmesine olanak tanıyan bir geri bağlantı proxy altyapısı işletiyor; bu da kötü niyetli aktörlerin faaliyetlerini anonimleştirmesine ve tespitten kaçmasına olanak tanıyor.
Bu tür hizmetlerin artan kullanılabilirliği ve uygun fiyatlılığı, güvenlik profesyonelleri için önemli zorluklar oluşturmakta ve bu tehditleri azaltmak için iyileştirilmiş IoT cihaz güvenliğine ve ağ sağlamlaştırmaya yönelik acil ihtiyacın altını çizmektedir.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin