Siber güvenlik araştırmacıları kiralık DDoS hizmetleri sunan platformlar aracılığıyla potansiyel olarak istek üzerine tetiklenen 'distributed denial-of-service' (dağıtılmış hizmet reddi) saldırıları gerçekleştirmek için güvenliği ihlal edilmiş akıllı cihazlardan yararlanan yeni bir IoT botnet tehdidini keşfetti.
Bitdefender araştırmacıları tarafından "dark_nexus" olarak adlandırılan botnet, yönlendiriciler (Dasan Zhone, Dlink ve ASUS'tan), video kaydediciler ve termal kameralar gibi çeşitli cihazlara karşı kimlik bilgisi doldurma saldırıları kullanarak bunları ortaklaşa botnet'e dahil etmek için çalışır.
Şimdiye kadar, dark_nexus, ters proxy olarak hareket eden ve Çin, Güney Kore, Tayland, Brezilya ve Rusya'daki çeşitli konumlara yayılmış en az 1.372 bottan oluşuyor.
Araştırmacılar, "Daha önce bilinen IoT botnet'leriyle bazı özellikleri paylaşabilse de, bazı modüllerinin geliştirilme şekli onu daha güçlü ve sağlam hale getiriyor." Dedi. "Örneğin, 12 farklı CPU mimarisi için yükler derleniyor ve kurbanın yapılandırmasına göre dinamik olarak sunuluyor."
Bitdefender tarafından toplanan kanıtlar Yunanistan'ı işaret ediyor. Helios sosyal medya platformlarında DDoS hizmetleri satmak ve yeteneklerini tanıtmak için bir YouTube kanalı kullanmakla ünlü olan bir botnet yazarı ve dark_nexus'un geliştirilmesinin arkasındaki kişi.
Bilinen botnetlerden esinlenen Qbot ve Mirai
Dark_nexus'un "Qbot bankacılık kötü amaçlı yazılımları" ve Mirai ile benzerliklerine dikkat çeken Bitdefender araştırmacıları, çekirdek modüllerinin "çoğunlukla orjinal" olduğunu ve Aralık 2019'dan Mart 2020'ye kadar (sürüm 4.0 ila 8.6) piyasaya sürülen 30'dan fazla sürümle sık sık güncellendiğini söyledi.
Araştırmacılar, "Botun başlangıç kodu Qbot'un koduna benziyor: birkaç kez çatallanıyor, birkaç sinyali engelliyor ve terminalden ayrılıyor." Dedi.
"Daha sonra, Mirai gibi sabit bir bağlantı noktasına (7630) bağlanır ve bu botun tek bir örneğinin cihazda çalışmasını sağlar. Bot, adını '/ bin / busybox olarak değiştirerek kendini gizlemeye çalışır. ' Mirai'den ödünç alınan bir başka özellik de sanal cihazın periyodik ioctl çağrıları ilewatchdog'u devre dışı bırakılmasıdır. "
Altyapı, etkilenen botlara uzaktan komutlar veren birkaç komut ve kontrol (C2) sunucusundan (anahtar ağları [.] Net: 30047 amd thiccnigga [.] Me: 30047) ve botların savunmasız hizmetler (ör. varsayılan şifrelerle korunan cihazlar) ile ilgili ayrıntıları paylaştığı raporlama sunucularından oluşur.
Brute Force saldırısı başarılı olduktan sonra bot, C2 sunucusuna kaydolur ve Telnet aracılığıyla özel injection yükünü iletir. Bot ikili dosyalarını ve diğer kötü amaçlı yazılım bileşenlerini bir barındırma sunucusundan (anahtar ağları [.] Net: 80) iletmek için cihazın CPU mimarisini tanımlar. )
Buna ek olarak, botnet'in bazı sürümleri (4.0 ila 5.3), kurbanın barındırma sunucusu için bir proxy gibi davranmasına izin veren ters bir proxy özelliğine sahiptir, böylece virüslü cihazı bağlanmak yerine gerekli yürütülebilir dosyaları yerel olarak indirip merkezi barındırma sunucusuna depolamaya yönlendirir. .
Hepsi bu değil. dark_nexus, cron hizmetini durdurarak ve söz konusu cihazı yeniden başlatmak için kullanılabilecek hizmetlere olan ayrıcalıkları kaldırarak cihazın yeniden başlatılmasını önleyen kalıcılık komutlarıyla birlikte gelir.
Bitdefender, "Ayrıca, tehlikeye atılan cihazda 'supremacy' ('üstünlüğü') sağlamak için kullanılan bir teknik kullanıyor."
"Benzersiz bir şekilde, dark_nexus, hangi işlemlerin risk oluşturabileceğini değerlendirmek için ağırlıklara ve eşik değerlerine dayalı bir puanlama sistemi kullanır. Bu, beyaz listeye alınan işlemlerin ve bunların PID'lerinin bir listesini tutmayı ve bir eşiği geçen (100'den büyük veya ona eşit) diğer tüm işlemleri öldürmeyi içerir. şüpheniz var. "
IoT Cihazlarınız Kiralanmaya Hazır
Mirai botnet, 2016'daki keşfinden bu yana, bir dizi büyük ölçekli DDoS saldırısına bağlandı. O zamandan beri, kısmen İnternet'teki kaynak kodunun kullanılabilirliği nedeniyle Mirai'nin birçok çeşidi ortaya çıktı.
Botnet yazarları da, Qbot bankacılık trojanını eklemek ve ek kötü amaçlı yazılım indirmek için WordPress sitelerine Brute Force saldırıları düzenlediler.
Dark_Nexus'un Mirai ve Qbot'un temelleri üzerine inşa edilmiş olması, botnet operatörlerinin ve deneyimsiz bilgisayar korsanlarının gelişen taktiklerinin kanıtıdır ve zayıf güvenlikli IoT cihazlarında çeşitli güvenlik açıklarından yararlanarak yeni işlevler eklemelerine izin verir ve modern botnet ordularını toplar.
Bitdefender araştırmacıları, "Geçmiş çalışmalarının bir kısmını tanıtan YouTube videolarını kullanarak ve çeşitli siber suç forumlarında, Yunannistan'da teklifler yayınlıyor.
thehackernews'dan alntıdır.
Hiç yorum yok:
Yorum Gönder