Mirai botnet’in “Broadside” adı verilen yeni ve sofistike bir çeşidi, deniz taşımacılığı şirketlerini ve gemi operatörlerini hedef alan aktif bir tehdit olarak ortaya çıktı.
Kötü amaçlı yazılım, kargo gemileri ve deniz lojistik gemilerinde güvenlik takibi için kullanılan TBK Dijital Video Kaydedici (DVR) cihazlarındaki kritik bir güvenlik açığından yararlanıyor.
Bu keşif, modern botnet saldırılarının işleyişinde önemli bir değişime işaret ediyor; basit hizmet reddi kampanyalarının ötesine geçerek gelişmiş kimlik bilgisi toplama ve yanal hareket taktiklerini içeriyor.
Broadside kampanyası, Cydome güvenlik analistlerinin birden fazla aktif altyapı bileşenini takip etmesiyle son aylarda ivme kazanmaya başladı.
Botnet, özel komuta ve kontrol protokollerini ve tespitten kaçınmak için özel olarak tasarlanmış gelişmiş kalıcılık mekanizmalarını bir araya getirerek, güncellenmiş Mirai varyantlarında nadiren görülen bir karmaşıklık düzeyi sergiliyor.
.webp)
Standart iletişim yöntemlerine dayanan önceki Mirai sürümlerinden farklı olarak Broadside, her kontrol paketine sabit kodlanmış benzersiz bir “Sihirli Başlık” imzası (0x36694201) kullanır. tarafından belirtildiği gibi, geleneksel ağ izleme yoluyla tespit edilmesi zor kalırken güvenli iletişimin sağlanması Cydome araştırmacıları.
Saldırı Vektörü
İlk saldırı vektörü, TBK DVR sistemlerinin /device.rsp uç noktasındaki kritik bir uzaktan komut ekleme güvenlik açığı olan CVE-2024-3721’den yararlanıyor.
.webp)
Saldırganlar, kötü amaçlı yazılım ikili dosyasını ARM, MIPS, x86 ve PowerPC değişkenleri de dahil olmak üzere birden çok işlemci mimarisine indiren bir yükleyici komut dosyasını dağıtmak için özel hazırlanmış HTTP POST istekleri gönderir.
Kötü amaçlı yazılım yürütüldükten sonra kendisini hemen diskten kaldırır ve dosya tabanlı güvenlik araçları tarafından algılanmayı önlemek için tamamen bellekte kalır.
Cydome güvenlik analistleri ve araştırmacıları Broadside’ın iki farklı süreç izleme yöntemi kullandığını tespit etti.
Kötü amaçlı yazılım ilk olarak, süreç etkinliği hakkında gerçek zamanlı sistem bildirimleri almak için Netlink çekirdek yuvalarını kullanan “Akıllı Modu” etkinleştirmeye çalışır.
Bu yaklaşım CPU yükünü en aza indirir ve botun gizlice çalışmasına olanak tanır. Çekirdek kısıtlamaları bu yöntemi engelliyorsa Broadside, rakip işlemleri veya güvenlik araçlarını belirlemek için /proc dizinini her 0,1 saniyede bir agresif bir şekilde tarayarak “Panik Moduna” geçer.
Bu çift modlu yaklaşım, kötü amaçlı yazılımın, sistem yapılandırmasından bağımsız olarak virüslü sistemler üzerinde kalıcı kontrol sağlamasını sağlar.
Araştırmacıların “Yargıç, Jüri ve İnfazcı” olarak adlandırdığı kötü amaçlı yazılımın süreç öldürücü modülü, rakip kötü amaçlı yazılımları ve potansiyel güvenlik araçlarını etkin bir şekilde tespit ederek, belirli kalıplarla eşleşen veya dahili doğrulama kontrollerinde başarısız olan tüm işlemleri sonlandırıyor.
Modül, hem beyaz liste hem de kara liste mekanizmalarını bellekte tutarak, tüm sistemi yeniden taramadan tehditleri hızlı bir şekilde ortadan kaldırmasına olanak tanır.
Ek olarak Broadside, yerel hesapları numaralandırmak ve ayrıcalık yükseltme ve yanal harekete hazırlanmak için /etc / passwd ve /etc / shadow dosyalarına erişerek başlatma sırasında kimlik bilgisi dosyalarını toplar.
Güvenliği ihlal edilmiş bir DVR’ye kurulduktan sonra Broadside, deniz uydu iletişim ağlarını doyurabilecek yüksek hızlı UDP saldırıları başlatır.
Saldırı modülü, rastgele kaynak bağlantı noktalarına sahip 32’ye kadar eşzamanlı UDP soketi açar ve statik imza tabanlı algılama sistemlerini alt etmek için paket başlıklarını ustaca değiştirerek yük çok biçimliliğini uygular.
DDoS işlevselliği hiçbir zaman doğal olarak sona ermez; Virüs bulaşmış sistem kapatılıncaya veya süreç zorla sonlandırılıncaya kadar zamanlama profillerini sürekli olarak uyarlar.
Denizcilik gemileri üzerindeki operasyonel etki, basit ağ kesintisinin ötesine uzanıyor. Güvenliği ihlal edilmiş DVR’ler genellikle geminin köprü üstü, makine dairesi ve kargo ambarları için kritik CCTV yayınlarını yönetir.
Sistemin bozulması veya tehlikeye atılması, ekiplerin fiziksel güvenlik olaylarını görmesini engelleyebilir; yoğun DDoS faaliyeti ise sınırlı uydu bağlantılarını doyurabilir.
Düz mimariye sahip ağlarda ele geçirilen CCTV sistemleri, saldırganlara daha hassas gemi işletim sistemlerine yönelmeleri için dayanak noktası sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
