Windows cihazlarına kötü amaçlı yazılım indirmelerinden başlayan ve bir dizi Linux tabanlı cihaza yayılan platformlar arası bir botnet olan ‘MCCrash’, yakın zamanda IoT için Microsoft Defender araştırma ekibi tarafından incelenmiştir.
Botnet, internete açık Secure Shell (SSH) özellikli cihazlarda varsayılan kimlik bilgilerini alarak yayılır. Özellikle IoT cihazları, potansiyel olarak güvenli olmayan ayarlarla sık sık uzaktan yapılandırma etkinleştirildiğinden, bu botnet gibi saldırılara karşı savunmasız olabilir.
Bu etkinlik kümesi, Windows, Linux ve IoT cihazlarını etkileyen platformlar arası bir botnet olan DEV-1028 adı altında Microsoft tarafından izleniyor.
DEV-1028 botnet’in, özel ‘Minecraft sunucularına’ karşı dağıtılmış hizmet reddi (DDoS) saldırıları başlattığı bilinmektedir.
Microsoft, “DDoS botnet analizimiz, büyük olasılıkla forumlarda veya karanlık ağ sitelerinde satılan bir hizmet olarak hazırlanmış paketleri kullanan özel Minecraft Java sunucularını hedeflemek için özel olarak tasarlanmış işlevleri ortaya çıkardı” diyor.
Araştırmacılar, bir cihaza bulaştığında, kaba kuvvet SSH kimlik bilgileriyle ağdaki diğer sistemlere kendiliğinden yayılabileceğini söylüyor.
Bu Botnet Birden Fazla Platformu Nasıl Etkiler?
Microsoft araştırmacıları, botnet’in ilk giriş noktalarının, yasa dışı Windows lisansları alabildiğini iddia eden kötü amaçlı kırma araçlarının yüklenmesiyle ele geçirilen cihazlar olduğunu keşfetti.
Kırma araçları, birincil botnet yükü olan ‘malicious.py’yi başlatan ‘svchosts.exe’ adlı bir dosyayı indiren kötü amaçlı PowerShell kodu içerir.
Bunun ardından MCCrash, kaba kuvvet SSH saldırılarıyla Linux ve IoT cihazlarına saldırarak daha fazla ağa bağlı cihaza yayılmaya çalışır.
“Botnet’in yayılma mekanizması, onu benzersiz bir tehdit haline getiriyor çünkü kötü amaçlı yazılım, virüslü kaynak bilgisayardan kaldırılabilirken, ağdaki yönetilmeyen IoT cihazlarında kalabilir ve botnet’in bir parçası olarak çalışmaya devam edebilir.” Microsoft
Linux ve Windows ortamlarının her ikisi de kötü amaçlı Python betiğini çalıştırabilir. İlk başlatmanın ardından, C2 ile 4676 numaralı bağlantı noktası üzerinden bir TCP iletişim kanalı oluşturur ve üzerinde çalıştığı sistem gibi temel ana bilgisayar bilgilerini gönderir.
Windows’ta MCCrash, değeri yürütülebilir dosya olacak şekilde “Software\Microsoft\Windows\CurrentVersion\Run” anahtarına bir Kayıt Defteri değeri ekleyerek kalıcılık oluşturur.
Araştırmacılar, “Analizimize göre botnet, öncelikle bilinen sunucu DDoS komutlarını ve benzersiz Minecraft komutlarını kullanarak özel Minecraft sunucularına karşı DDoS saldırıları başlatmak için kullanılıyor” dedi.
Tehdit aktörleri, botnet’i Minecraft sunucusu sürüm 1.12.2’yi hedeflemek için oluşturdu, ancak 1.7.2’den 1.18.2’ye kadar olan tüm sunucu sürümleri de saldırılara karşı savunmasızdır.
Azaltma
Microsoft araştırmacıları, IoT cihazlarınızın üretici yazılımını güncel tutmanızı önerir. Varsayılan parolayı daha güçlü (uzun) bir parolayla değiştirin ve kullanılmadığında SSH bağlantılarını botnet’lerden korumak için kapatın.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin