17 Ekim 2017, Salı   |   English
Kullanıcı Adı:  Şifre: Kayıt Ol     Şifremi Unuttum
Nur Topu Gibi Bir DDoS Malware'imiz Oldu: Mirai'den Daha Tehlikeli ve Tüm Linux'lar Hedefte!
Yazan: Ugurcan Taspinar      14 Mart 2017, Salı      Sayfayı Yazdır         Tavsiye Et Paylaş
Bu DDoS prensibi, muhtemelen daha önce Mirai olduğu için fark edilemedi ancak son bulgulara göre tamamen 'standalone' olarak çalışan, genel haliyle AVTech cihazlarını aracı olarak kullanabilen, IoT'yi tehdit eden yeni bir DDoS malware'i bulundu.

  En Son Haberler
Herhangi bir Linux cihazınızda, özellikle IoT yönetimi yaptığınız Linux cihazınızda ‘ELF_IMEIJ.A' isiminde bir dosya görürseniz tehlike çanları çalıyor demektir. Özellikle IP Kamera motorları konusunda yaygın olarak kullanılan AVTech'in ürünlerinde, bu haftadan itibaren örnekleri görüldü. Bu Malware'in gelişiyle şu da anlaşılmış oldu; Windows platformların aksine Linux sistemler IoT teknolojilerinde daha yaygın kullanılıor. Bu kadar yaygın kullanılmasıyla da Linux, şimdinin popüler hedef tahtası. Linux - ARM tabanlı cihazları tehdit eden, Mirai, Umbreon, LuaBot, BashLite kadar yıkıcı bir etkiye sahip.  Bulgularda AVTech'in Cloud platformlarından sızmayı (CloudSetup.cgi dosyası) başarıyor, bunun yanısıra server sistemelerindeki ‘cgi-bin' scriptleri de bu Malware'e karşı zayıf bölgelerden bir tanesi.

Script'lerin çalışmasıyla birlikte random IP adreslerine birer request turu gönderiliyor, IP adresleri güvenlik açığı bulunan cihazları bularak gerekli Trojan dosyaları sisteme bırakmaya başlıyor, böylece zararlı dosyaları sisteme kaydedebilecek dosyalar ‘tetiklenerek' indirilmeye başlıyor. Hedefe alınan bilgisayar veya cihaz ise zararlı dosya ile normal dosyanın yerlerini  ve dosya izinlerini değiştirdikten sonra tehdit yerel cihazlardan harekete geçiyor. Bu saldırı yöntemi şimdiye dek İrlanda'daki bazı sunucularda, ekim ayında YouTube'a gerçekleştirilen DDoS saldırısında, Almanya'daki banka saldırılarında, kameraları hacklemek için kullanılmış, ancak henüz keşfedilemediği için bu saldırılarla ilgili bir başka DDoS prensibi olan, Mirai suçlanmıştı. Ancak gözümüze çarpan bir detay, bu saldırıların hemen akabininde, Mirai'nin neredeyse aynı tanımına uyan başka bir saldırı yöntemi, Trend Micro tarafından blog yazısında anlatılmış. Dolayısıyla 2016'nın son çeyreğinde çok fazla vurgun yaptığını düşündüğümüz Mirai'den başka şüphelilerin de olduğu ortaya çıktı, benzer yöntemler olduğu için siber güvenlikçiler Mirai'ye önlem alırken, ELF_IMEJ.A'ya pek fazla önlem alınamadı.

Tek bir noktadan Mirai'den ayrılır durumda; DDoS yetenekleri tamamen benzeşse de tehditin başlangıçının işlemesi açısından farklı. Bu Trojan, yoğun olarak AVTech cihazlarını kullandı, saldırıyla ilgili yazılan raporlarda geçen ortak ifade, bu saldırının tek bir kanaldan gerçekleştirildiğini kanıtlıyor: "Sadece 39999 port'unu kullanıyor" Bu cümle, yapılan herhangi bir DDoS saldırısından sonra rapor edilen ortak cümle ve Mirai ile farklılığını gösteren tek detay.  Elbette bu ifade, sadece Linux'larında AVTech'i kullanan yöneticiler tarafından belirtildi.

AVTech Türkiye'de de yaygın kullanılıyor ve kabaca bir hesapla toplam 130,000 adet internete bağlanmış farklı arayüzü ve cihazı bulunuyor.  AVTech'in adının geçmesi, durumu sadece AVTech ile sınırlı kılmaz, zira bu cihazların da büyük DDoS saldırılarında kullanlacağı botlara dönüşebilir. 
Yazan: Ugurcan Taspinar      14 Mart 2017, Salı      Sayfayı Yazdır         Tavsiye Et Paylaş
  
Eski Haberlerden Bir Tutam
  Bu Kategorideki Son 10 Yazı

  Yorumlar

Bu yazıya hiç yorum yapılmamış. İlk yorumu siz yapın.



Yorum yazabilmek için giriş yapmanız gerekmektedir.
Yukarıdaki giriş panelinden giriş yaptıktan sonra yorum yazabilirsiniz