Yeni InterPlanetary Storm kötü amaçlı yazılım varyantı, IoT cihazlarını hedefliyor. Virüslü cihazlar, kripto madenciliği, DDoS ve diğer büyük ölçekli saldırılar için arka kapılar açar.
InterPlanetary Storm kötü amaçlı yazılımının arkasındaki siber suç örgütü, Windows ve Linux bilgisayarların yanı sıra artık Mac ve Android cihazları da hedefleyen yeni bir değişken yayınladı. Kötü amaçlı yazılım, şu anda dünya çapında 13.500 farklı ülkede yaklaşık 84 virüslü bilgisayarı içeren bir botnet oluşturuyor ve bu sayı artmaya devam ediyor.
Windows ve Linux'tan sonra şimdi IoT cihazları
InterPlanetary Storm'un Windows makinelerini hedef alan ilk çeşidi Mayıs 2019'da ortaya çıkarıldı ve bu yılın Haziran ayında Linux makinelerine saldırabilen bir varyantı bildirildi. İlk olarak Ağustos ayı sonlarında Barracuda araştırmacıları tarafından keşfedilen yeni değişken, Android işletim sistemlerini çalıştıran TV'ler gibi IoT cihazlarını ve kötü yapılandırılmış SSH hizmetine sahip yönlendiriciler gibi Linux tabanlı makineleri hedefliyor. Bu kötü amaçlı yazılımı oluşturan botnet henüz net bir işlevselliğe sahip olmasa da, kampanya operatörlerine daha sonra kripto madenciliği, DDoS veya diğer büyük ölçekli saldırılar için kullanılabilmeleri için virüslü cihazlara açılan bir arka kapı sağlar.
Kötü amaçlı yazılımın bulaştığı bilgisayarların çoğu şu anda Asya'da bulunuyor.
• Virüs bulaşmış bilgisayarların %59'u Hong Kong, Güney Kore ve Tayvan'da bulunmaktadır.
• Rusya ve Ukrayna'da %8
• Brezilya'da %6
• Amerika Birleşik Devletleri ve Kanada'da %5
• İsveç'te %3
• Çin'de %3
• Diğer tüm ülkeler %1 veya daha az kayıt yaptırmaktadır (Almanya şu anda %0,5)
Yeni InterPlanetary Storm kötü amaçlı yazılımı nasıl çalışır?
Yeni InterPlanetary Storm kötü amaçlı yazılım türü, başka bir eşler arası (P2P) kötü amaçlı yazılım olan FritzFrog'a benzer şekilde, SSH sunucularına sözlük saldırısı gerçekleştirerek makinelere erişim sağlıyor. Açık ADB (Android Debug Bridge) sunucularına erişerek de erişim elde edebilir. Kötü amaçlı yazılım, kurbanlarının CPU mimarisinin ve işletim sisteminin farkındadır ve yönlendiricilerin ve diğer IoT cihazlarının oldukça yaygın olarak kullandığı bir mimari olan ARM tabanlı makinelerde çalışabilir. Kötü amaçlı yazılım, IPFS (Gezegenler Arası Dosya Sistemi) p2p ağını ve temeldeki libp2p uygulamasını kullandığından Gezegenler Arası Fırtına olarak adlandırılır. Bu, virüslü düğümlerin birbirleriyle doğrudan veya diğer düğümler (ör. röleler) aracılığıyla iletişim kurmasına olanak tanır.
Yeni varyantın özel özellikleri
InterPlanetary Storm'un bu varyantı Go'da yazılmıştır, libp2p'nin Go uygulamasını kullanır ve UPX ile paketlenmiştir. SSH kaba kuvvetini ve açık ADB bağlantı noktalarını kullanarak çoğalır ve ağdaki diğer düğümlere kötü amaçlı yazılım dosyaları gönderir. Kötü amaçlı yazılım ayrıca ters kabuğu etkinleştirir ve bash kabuğunu çalıştırabilir. Yeni değişken, kötü amaçlı yazılımın bir makineye bulaştıktan sonra kalıcı ve korumalı kalmasına yardımcı olmak için tasarlanmış birkaç benzersiz özelliğe sahiptir:
- Honeypotları tanır. Kötü amaçlı yazılım, daha önce Cowrie bal küpü tarafından kullanılan standart kabuk isteminde (PS04) "svr1" dizesini arar.
- Otomatik olarak güncellenir. Kötü amaçlı yazılım, çalışan örneğin sürümünü mevcut en son sürümle karşılaştırır ve kendisini buna göre günceller.
- Bir Go Daemon paketi kullanarak bir hizmet (system/systemv) kurarak kalıcı olmaya çalışır.
- Hata ayıklayıcılar ve rakip kötü amaçlı yazılımlar gibi makinede kötü amaçlı yazılım için tehdit oluşturan diğer işlemleri durdurur.
Yeni Gezegenler Arası Fırtına varyantına karşı koruma önlemleri
- Tüm cihazlarda SSH erişiminin uygun şekilde yapılandırılması: Bu, şifreler yerine anahtarların kullanıldığı ve erişimi daha güvenli hale getirdiği anlamına gelir. Parolayla oturum açma etkinleştirildiyse ve hizmetin kendisine erişilebilirse, kötü amaçlı yazılım kötü yapılandırılmış saldırı yüzeyinden yararlanabilir. Bu, birçok yönlendirici ve IoT cihazı için bir sorundur ve onları bu kötü amaçlı yazılım için kolay hedefler haline getirir.
- Ciddi sonuçlara yol açabilecek herhangi bir yapılandırma hatasından kaçınmak için SSH erişim kontrolünü izlemek üzere bir bulut güvenlik duruş yönetimi aracı kullanmak. Gerekirse mermilere güvenli erişim sağlanmalıdır; kaynağı İnternet'teki tehditlere maruz bırakmak yerine, geniş IP ağlarına erişime izin vermek yerine, MFA etkin bir VPN bağlantısı kurulmalı ve ağlar belirli ihtiyaçlar için bölümlere ayrılmalıdır.
Barracuda.com adresindeki blogda daha fazla bilgi edinin
[yıldız kutusu kimliği=5]