FortiGuard Laboratuvarlarındaki güvenlik araştırmacıları, Nisan ayında D-Link cihazlarındaki bir zayıflıktan yararlanan yeni bir botnet keşfetti.
“Goldoon” olarak adlandırılan bu botnet’in, etkilenen yönlendiriciler üzerinde yetkisiz kontrol elde etmek ve kötü amaçlı faaliyetler yürütmek için neredeyse on yıllık bir güvenlik açığı olan CVE-2015-2051’i kullandığı gözlemlendi.
CVE-2015-2051 güvenlik açığı, D-Link cihazlarının Ev Ağı Yönetim Protokolü (HNAP) arayüzünde yer almaktadır.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Uzaktaki saldırganların, kötü amaçlı bir komut içeren hazırlanmış bir HTTP isteği aracılığıyla değiştirilebilen GetDeviceSettings eylemi aracılığıyla rasgele komutlar yürütmesine olanak tanır.
2015 yılında keşfedilmesine rağmen bu güvenlik açığı, Goldoon botnet’inin ağ cihazlarına sızması için bir kanal olarak yeniden ortaya çıktı.
Trend Micro, Goldoon botnet’inin saldırısını, kötü amaçlı bir sunucudan gelen bir “damlalık” komut dosyasını dağıtmak için CVE-2015-2051’i kullanarak başlattığını söyledi.
Bu komut dosyası, algılanmayı önlemek için kendi kendini silecek şekilde tasarlanmıştır ve çeşitli Linux sistem mimarilerinde çalışabilmektedir.
Cihazın güvenliği ihlal edildiğinde, damlalık bir dosyayı indirip çalıştırarak daha fazla kötü amaçlı aktiviteye zemin hazırlıyor.
Bırakıcının birincil rolü, belirli dizelerin şifresini çözmek ve yük için tam Tekdüzen Kaynak Tanımlayıcısını (URI) oluşturmak için bir XOR anahtarı kullanarak botnet dosyasını indirmektir.
İndirici daha sonra nihai yükü almak için sabit kodlanmış bir başlık kullanır ve güvenliği ihlal edilmiş sistemdeki izlerini kapatmak için temizleme mekanizmalarını devreye sokar.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free.
Goldoon kötü amaçlı yazılımı kurulduktan sonra, TCP taşması, ICMP taşması gibi yöntemleri ve Minecraft DDoS gibi daha özel saldırıları kullanarak çeşitli dağıtılmış hizmet reddi (DDoS) saldırıları başlatabilir.
| Protokol | Saldırı Yöntemi |
| ICMP | ICMP Sel Baskını |
| TCP | TCP Flooding, XMAS Saldırısı vb. |
| UDP | UDP Taşması |
| DNS | DNS Baskını |
| HTTP | HTTP Bypass, HTTP Flooding, vb. |
| Diğer | Minecraft DDoS Saldırısı |
Saldırı Yöntemleri
Bu saldırılar hem bireysel hedefleri hem de daha büyük ağları etkileyerek önemli kesintilere neden olabilir.
Azaltma ve Önleme
Goldoon botnet’inin yükselişi, eski, yama yapılmamış güvenlik açıklarının önemli bir tehdit olmaya devam ettiğinin açık bir hatırlatıcısı olarak hizmet ediyor.
Kullanıcılardan D-Link cihazlarını derhal güncellemeleri isteniyor.
Ayrıca ağ izleme çözümlerini uygulamak, güçlü güvenlik duvarı kuralları oluşturmak ve en son güvenlik bültenleri ve yamaları hakkında bilgi sahibi olmak, gelişen tehditlerin önünde kalmanın önemli adımlarıdır.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide