Yeni bir çoklu platform tehdidi NKAistismar NKN (Yeni Tür Ağ’ın kısaltması) olarak bilinen merkezi olmayan, eşler arası ağ bağlantı protokolünün bir iletişim kanalı olarak kullanıldığı keşfedildi.
Rus siber güvenlik şirketi Kaspersky Perşembe günkü raporunda, “Kötü amaçlı yazılım, eşler arasında veri alışverişi için NKN teknolojisini kullanıyor, güçlü bir implant işlevi görüyor ve hem baskın hem de arka kapı yetenekleriyle donatılmış.” dedi.
62.000’den fazla düğüme sahip olan NKN, “kullanıcıların kullanılmayan bant genişliğini paylaşmasına ve token ödülleri kazanmasına olanak tanıyan, günümüz İnternetinin üzerine inşa edilmiş bir yazılım yer paylaşımı ağı” olarak tanımlanıyor. Mevcut TCP/IP yığınının üstünde bir blockchain katmanı içerir.
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
Tehdit aktörlerinin komuta ve kontrol (C2) amacıyla yeni ortaya çıkan iletişim protokollerinden yararlandığı ve tespitten kaçtığı bilinirken, NKAbuse, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek ve güvenliği ihlal edilmiş sistemler içinde bir implant işlevi görmek için blockchain teknolojisinden yararlanıyor .
Özellikle bot yöneticisiyle konuşmak ve komutları almak/göndermek için protokolü kullanır. Kötü amaçlı yazılım Go programlama dilinde uygulanıyor ve kanıtlar bunun öncelikle IoT cihazları da dahil olmak üzere Linux sistemlerini ayırmak için kullanıldığına işaret ediyor.
Saldırıların ne kadar yaygın olduğu şu anda bilinmiyor ancak Kaspersky tarafından tespit edilen bir örnek, Apache Struts’taki (CVE-2017-5638, CVSS puanı: 10,0) altı yıllık kritik bir güvenlik açığının, isimsiz bir finans şirketine sızmak için kullanılmasını içeriyor. .
Başarılı bir şekilde yararlanmanın ardından, implantın uzak bir sunucudan indirilmesinden sorumlu olan bir ilk kabuk komut dosyasının teslim edilmesi gelir, ancak bu, hedef ana bilgisayarın işletim sistemini kontrol etmeden önce gerçekleşmez. Kötü amaçlı yazılımı barındıran sunucu, çeşitli CPU mimarilerini desteklemek için NKAbuse’un sekiz farklı sürümünü barındırıyor: i386, arm64, arm, amd64, mips, mipsel, mips64 ve mips64el.
Bir başka dikkate değer husus, kendi kendine yayılma mekanizmasının bulunmamasıdır; bu, kötü amaçlı yazılımın, güvenlik açıklarından yararlanılması gibi başka bir başlangıç erişim yolu yoluyla hedefe iletilmesi gerektiği anlamına gelir.
Kaspersky, “NKAbuse, yeniden başlatmalarda hayatta kalabilmek için cron işlerinden yararlanıyor” dedi. “Bunu başarmak için root olması gerekiyor. Mevcut kullanıcı kimliğinin 0 olup olmadığını kontrol ediyor ve eğer öyleyse, her yeniden başlatmada kendisini ekleyerek mevcut crontab’ı ayrıştırmaya devam ediyor.”
NKAbuse ayrıca bot yöneticisine periyodik olarak sistem hakkında bilgi içeren bir kalp atışı mesajı göndermesine, mevcut ekranın ekran görüntülerini yakalamasına, dosya işlemlerini gerçekleştirmesine ve sistem komutlarını çalıştırmasına olanak tanıyan çok sayıda arka kapı özelliği içerir.
Kaspersky, “Bu özel implant, bir botnet’e entegrasyon için titizlikle hazırlanmış gibi görünüyor, ancak belirli bir ana bilgisayarda arka kapı olarak çalışmaya uyum sağlayabiliyor” dedi. “Ayrıca, blockchain teknolojisinin kullanımı hem güvenilirliği hem de anonimliği sağlıyor, bu da bu botnet’in zaman içinde istikrarlı bir şekilde genişleme potansiyelini gösteriyor ve görünüşe göre tanımlanabilir bir merkezi denetleyiciden yoksun.”