Yeni tanımlanan Nesnelerin İnterneti (IoT) botnet’i, 2024’ün sonlarından bu yana küresel olarak büyük ölçekli Dağıtılmış Hizmet Reddi (DDoS) saldırıları düzenleyerek yönlendiriciler, IP kameralar ve diğer bağlı cihazlar gibi IoT cihazlarındaki güvenlik açıklarından yararlanıyor.
Güvenlik araştırmacıları, Mirai ve Bashlite’tan türetilen kötü amaçlı yazılımlardan yararlanan bu botnet’in dünya çapındaki endüstriler ve kritik altyapılar için önemli bir tehdit oluşturduğu konusunda uyarıyor.
Botnet, Uzaktan Kod Yürütme (RCE) güvenlik açıklarından veya zayıf varsayılan kimlik bilgilerinden yararlanarak IoT cihazlarına bulaşıyor. Enfeksiyon süreci birden fazla aşamayı içerir: –
- İlk Kullanım: Kötü amaçlı yazılım, güvenlik açıkları veya kaba kuvvet uygulayan zayıf parolalar yoluyla cihazlara sızar.
- Yük Teslimatı: Bir yükleyici komut dosyası, ana kötü amaçlı yazılım yükünü bir dağıtım sunucusundan indirir. Yük, etkilenen cihazda iz bırakmayı önlemek için doğrudan bellekte yürütülür.
- Komuta ve Kontrol (Komuta ve Kontrol): Cihazlar virüs bulaştığında saldırı komutlarını almak için C&C sunucularına bağlanır.
Botnet, aşağıdakiler dahil çeşitli DDoS saldırı vektörlerini kullanır: –
- SYN Taşkınları: TCP bağlantı istekleriyle dolu sunucular.
- UDP Taşkınları: Ağların UDP paketleriyle doyurulması.
- GRE Protokolü İstismarları: Genel Yönlendirici Kapsüllemesini kullanarak yönlendiricileri hedefleme.
- TCP El Sıkışma Taşmaları: Sunucu kaynaklarını tüketmek için çok sayıda sahte TCP bağlantısı kurmak.
Trend Micro’daki güvenlik uzmanları, komutların, iki baytlık uzunluk alanıyla ön eklenmiş metin mesajları olarak yapılandırıldığını, bunun süre ve hedef IP adresleri gibi saldırı parametreleri üzerinde hassas kontrol sağladığını belirtti.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Teknik Analiz
Bu botnet finans, ulaşım ve telekomünikasyon gibi sektörleri hedef alarak geniş bir coğrafi erişime sahip olduğunu gösterdi. Kuzey Amerika ve Avrupa büyük ölçüde etkilendi; ABD belirlenen hedeflerin %17’sini oluşturdu. Japonya ayrıca özellikle finans ve ulaştırma sektörlerine yönelik önemli saldırılarla da karşı karşıya kaldı.
.webp)
Virüs bulaşan cihazların çoğunluğunu kablosuz yönlendiriciler (%80) ve ardından IP kameralar (%15) oluşturuyor.
Analizler, TP-Link ve Zyxel gibi markaların yaygın kullanımları ve bilinen güvenlik açıkları nedeniyle sıklıkla tehlikeye atıldığını ortaya koyuyor.
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için, virüslü cihazlardaki izleme zamanlayıcılarını devre dışı bırakarak DDoS saldırılarının neden olduğu yüksek yükler sırasında otomatik yeniden başlatmaları engeller.
Ayrıca, C&C sunucularıyla iletişimi sürdürürken harici erişimi engellemek için Linux tabanlı iptables kurallarını da yönetir.
Uzmanlar, IoT botnet enfeksiyonları riskini azaltmak için çeşitli önlemler önermektedir: –
- Cihaz kurulumundan hemen sonra varsayılan şifreleri değiştirin.
- Bilinen güvenlik açıklarını düzeltmek için ürün yazılımını düzenli olarak güncelleyin.
- Maruziyeti sınırlamak için IoT cihazlarını ayrı ağlarda izole edin.
- Anormal trafik düzenlerini tanımlamak için izinsiz giriş tespit sistemlerini (IDS) kullanın.
Kuruluşların, kötü amaçlı trafiği filtrelemek için hizmet sağlayıcılarla işbirliği yapması ve DDoS saldırıları sırasında yük dağıtımı için CDN’leri dağıtmayı düşünmesi tavsiye ediliyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri