Enemybot adlı Mirai tabanlı yeni bir botnet kötü amaçlı yazılımının, modemler, yönlendiriciler ve IoT cihazlarındaki güvenlik açıkları aracılığıyla virüs bulaşmış cihaz ordusunu büyüttüğü ve tehdit aktörünün Keksec olarak bilindiği gözlemlendi.
Söz konusu tehdit grubu, kripto madenciliği ve DDoS konusunda uzmanlaşmıştır; her ikisi de IoT cihazlarına yerleşebilen ve hesaplama kaynaklarını ele geçirebilen botnet kötü amaçlı yazılımları tarafından desteklenir.
Enemybot, C2 sunucusu Tor düğümlerinin arkasına saklanırken dize gizleme özelliğine sahiptir, bu nedenle onu haritalamak ve indirmek şu anda oldukça zordur.
Yine de, tehdit analistleri tarafından vahşi doğada tespit edildi. Fortinetkötü amaçlı yazılımı örnekleyen, analiz eden ve işlevleri hakkında ayrıntılı bir teknik rapor yayınlayan.
Düşman botunun yetenekleri
Bir cihaza virüs bulaştığında, Enemybot C2’ye bağlanarak ve komutların yürütülmesini bekleyerek başlar. Komutların çoğu DDoS (dağıtılmış hizmet reddi) saldırıları ile ilgilidir, ancak kötü amaçlı yazılım kesinlikle bununla sınırlı değildir.
Daha spesifik olarak, Fortinet aşağıdaki desteklenen komutları sunar:
- ADNS – DNS yükseltme saldırısı gerçekleştirin
- ARK – “ARK: Survival Evolved” oyununun sunucularına saldırı gerçekleştirin
- BLACKNURSE – Hedefi Hedef Porta Ulaşılamaz ICMP mesajlarıyla doldurun
- DNS – Sabit kodlanmış DNS UDP sorgularına sahip Flood DNS sunucuları
- HOLD – Hedefi TCP bağlantılarıyla doldurun ve belirli bir süre tutun
- HTTP – Hedefi HTTP istekleriyle doldurun
- JUNK – Hedefi rastgele sıfır bayt olmayan UDP paketleriyle doldur
- OVH – Özel UDP paketleriyle OVH sunucularını Flood
- STD – Hedefi rastgele baytlık UDP paketleriyle doldurun
- TCP – Sahte kaynak başlıkları içeren TCP paketleriyle hedefi sular altında bırakın
- TLS – SSL/TLS saldırısı gerçekleştirin
- UDP – Sahte kaynak başlıkları içeren UDP paketleriyle hedefi sular altında bırakın
- OVERTCP – Rastgele paket teslim aralıklarıyla TCP saldırısı gerçekleştirin
- DUR – Devam eden DoS saldırılarını durdurun
- LDSERVER – İndirme sunucusunu istismar yükü için güncelleyin
- TARAYICI – SSH/Telnet kaba kuvvet ve açıklardan yararlanma yoluyla diğer cihazlara yayılma
- SH – Kabuk komutunu çalıştır
- TCPOFF/TCPON – Muhtemelen kimlik bilgilerini toplamak için 80, 21, 25, 666, 1337 ve 8080 bağlantı noktalarında koklamayı kapatın veya açın
ARK oyununu ve OVH sunucularını hedef alan komutlar özellikle ilgi çekicidir ve bu şirketleri hedef alan gasp kampanyalarına işaret edebilir.
Ayrıca, LDSERVER komutu, tehdit aktörlerinin indirme sunucusundaki herhangi bir sorunla başa çıkmak için yükler için yeni URL’ler göndermesine izin verir. Bu dikkate değer çünkü çoğu Mirai tabanlı botnet’in sabit, sabit kodlanmış bir indirme URL’si var.
Hedeflenen kemerler ve kusurlar
Enemybot, ortak x86, x64, i686, darwin, bsd, arm ve arm64’ten ppc, m68k ve spc gibi daha nadir ve eski sistem türlerine kadar birden çok mimariyi hedefler.
Pivot noktasının mimarisini tanımlayabildiği ve eşleşen ikili dosyayı C2’den getirebildiği için bu, kötü amaçlı yazılımın yayılma yetenekleri için çok önemlidir.
Hedeflenen güvenlik açıkları açısından Fortinet, örneklenen varyantlar arasındaki kümelerde bazı farklılıklar gördü, ancak her yerde mevcut olan üçü:
- CVE-2020-17456: Seowon Intech SLC-130 ve SLR-120S yönlendiricilerinde kritik (CVSS 9.8) uzaktan kod yürütme (RCE) hatası.
- CVE-2018-10823: Birden çok D-Link DWR yönlendiricisini etkileyen yüksek önem derecesi (CVSS 8.8) RCE hatası.
- CVE-2022-27226: iRZ mobil yönlendiricilerini etkileyen yüksek önem derecesi (CVSS 8.8) rastgele cronjob enjeksiyonu.
Varyantına bağlı olarak Enemybot’ta bulunabilecek veya bulunmayabilecek diğer kusurlar şunlardır:
- CVE-2022-25075 – 25084: TOTOLINK yönlendiricilerini hedefleyen kusurlar grubu. Aynı küme aynı zamanda Beastmode botnet.
- CVE-2021-44228/2021-45046: Log4Shell ve sonraki kritik güvenlik açıkları Apache Log4j’yi hedefliyor.
- CVE-2021-41773/CVE-2021-42013: Apache HTTP sunucularını hedefler
- CVE-2018-20062: ThinkPHP CMS’yi Hedefler
- CVE-2017-18368: Zyxel P660HN yönlendiricilerini hedefliyor
- CVE-2016-6277: NETGEAR yönlendiricilerini hedefler
- CVE-2015-2051: D-Link yönlendiricilerini hedefler
- CVE-2014-9118: Zhone yönlendiricilerini hedefler
- NETGEAR DGN1000 istismarı (CVE atanmamış): NETGEAR yönlendiricilerini hedefler
Botnet’leri dışarıda tutun
Enemybot’un veya başka herhangi bir botnet’in cihazlarınıza bulaşmasını ve onları kötü niyetli DDoS botnet’lerine dahil etmesini önlemek için her zaman ürününüz için mevcut en son yazılım ve donanım yazılımı güncellemelerini uygulayın.
Yönlendiriciniz yanıt vermiyorsa, internet hızları düşüyorsa ve normalden daha fazla ısınıyorsa, botnet kötü amaçlı yazılım bulaşmasıyla uğraşıyor olabilirsiniz.
Bu durumda, cihazda manuel bir donanım sıfırlaması gerçekleştirin, yönetici parolasını değiştirmek için yönetim paneline girin ve son olarak doğrudan satıcının web sitesinden mevcut en son güncellemeleri yükleyin.