Lumen’deki Black Lotus Labs’deki siber güvenlik araştırmacıları, kripto para madenciliği yapmak ve DDoS saldırıları başlatmak için bilgisayar korsanlarının, Windows ve Linux cihazlarını hedef almak ve bu cihazlara bulaştırmak için hızla genişleyen Kaos adlı mevcut bir botnet’i dağıttığını iddia etti.
Bu Go tabanlı kötü amaçlı yazılımdan etkilenebilecek çeşitli mimariler de vardır ve aşağıdaki mimarileri içerir:-
- x86
- x86-64
- AMD64
- MIPS
- MIPS64
- ARMv5-ARMv8
- AArch64
- PowerPC
Küçük ofis ve ev yönlendiricilerinin yanı sıra kurumsal sunucular gibi birçok cihaz bu mimarileri kullanır.
Teknik Analiz
Kaos, esas olarak SSH kaba kuvvet teknikleri ve çok sayıda güvenlik açığına karşı korunmayan yama uygulanmamış cihazların kullanımı yoluyla yayılır.
Ancak Kaos, planlarının bir parçası olarak çalınan SSH anahtarlarını kullanarak daha fazla cihazı ele geçirebilir. Ek olarak, ele geçirilen cihazın İnternet’e erişebileceği bir ters kabuk oluşturur.
Bu tür kabuk ile saldırganlar istedikleri zaman oturum açma ve gerekirse sistemi daha fazla kullanma olanağına sahiptir. Çince, Kaos’ta kullanılan dildir ve yalnızca Kaos, Çin merkezli C2 altyapısını da kullanmaz.
Kaos hakkında yeni bir şey yok; kampanya Nisan ayında keşfedildiğinden beri çok çeşitli sektörleri hedefliyor ve o zamandan beri katlanarak büyüdü.
Chaos’un bir cihaz üzerinde kalıcılık kurabilmesi için cihazı başarılı bir şekilde ele geçirdiği anda C2 sunucusuna ulaşacaktır.
Rapora göre, daha fazla yayılmak, kâr için kripto para madenciliği yapmak veya bir DDoS saldırısı başlatmak için komut, hazırlama komutlarını geri göndererek kötü amaçlı yazılımın daha da yayılmasını sağlar.
Hedefler
Bu botnet tarafından hedeflenen hedeflerin çoğu Avrupa’da. Buna rağmen, Amerika ve Asya Pasifik’te botların dünyaya yayıldığı bazı sıcak noktalar var. Şimdiye kadar, aşağıdaki iki ülkede Kaos botları tespit edilmedi:-
Kaos botnet’i, benzer yapı taşlarını ve yetenekleri kullanan bir botnet olan Kaiji’ye dayanıyor gibi görünüyor. Kaiji’nin aşağıdakileri de gerçekleştirebildiğine dikkat edilmelidir:-
- kripto madenciliği
- DDoS saldırılarını başlatma
- Ters kabukların oluşturulması
Ayrıca, C2 sunucusundan Chaos, 70’e kadar farklı komut yürütme yeteneğine sahiptir.
Öneri
Aşağıda, güvenlik uzmanları tarafından önerilen tüm önerilerden bahsettik: –
- Kaos enfeksiyonlarının yanı sıra şüpheli sunuculara bağlantıların ağ savunucuları tarafından izlenmesi gerekir.
- Yeni keşfedilen CVE’lerin keşfedilir keşfedilmez etkin bir şekilde yamalandığından emin olun.
- Yönlendiricinize düzenli olarak güvenlik güncellemeleri ve yamalar yüklemek, izlenecek en iyi uygulamalardan biridir.
- Kullanıcıların EDR çözümlerinden yararlanabilmeleri için doğru yapılandırıldıklarından ve güncellendiklerinden emin olmaları gerekmektedir.
- Satıcınız tarafından düzenli olarak yayınlanan yamalar uyarınca yazılımınızı güncel tutun.
- Uzaktan kök erişimi gerektirmeyen makineler için varsayılan parolayı değiştirmeli ve uzaktan kök erişimini devre dışı bırakmalısınız.
- SSH anahtarları, kimlik doğrulama için onlara dayanan herhangi bir cihazda güvenli bir şekilde saklanmalıdır.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin