Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Yeni EnemyBot DDoS botnet, yönlendiricileri ve IoT’leri ordusuna katıyor


DDoS

Enemybot adlı Mirai tabanlı yeni bir botnet kötü amaçlı yazılımının, modemler, yönlendiriciler ve IoT cihazlarındaki güvenlik açıkları aracılığıyla virüs bulaşmış cihaz ordusunu büyüttüğü ve tehdit aktörünün Keksec olarak bilindiği gözlemlendi.

Söz konusu tehdit grubu, kripto madenciliği ve DDoS konusunda uzmanlaşmıştır; her ikisi de IoT cihazlarına yerleşebilen ve hesaplama kaynaklarını ele geçirebilen botnet kötü amaçlı yazılımları tarafından desteklenir.

Enemybot, C2 sunucusu Tor düğümlerinin arkasına saklanırken dize gizleme özelliğine sahiptir, bu nedenle onu haritalamak ve indirmek şu anda oldukça zordur.

Yine de, tehdit analistleri tarafından vahşi doğada tespit edildi. Fortinetkötü amaçlı yazılımı örnekleyen, analiz eden ve işlevleri hakkında ayrıntılı bir teknik rapor yayınlayan.

Düşman botunun yetenekleri

Bir cihaza virüs bulaştığında, Enemybot C2’ye bağlanarak ve komutların yürütülmesini bekleyerek başlar. Komutların çoğu DDoS (dağıtılmış hizmet reddi) saldırıları ile ilgilidir, ancak kötü amaçlı yazılım kesinlikle bununla sınırlı değildir.

Daha spesifik olarak, Fortinet aşağıdaki desteklenen komutları sunar:

  • ADNS – DNS yükseltme saldırısı gerçekleştirin
  • ARK – “ARK: Survival Evolved” oyununun sunucularına saldırı gerçekleştirin
  • BLACKNURSE – Hedefi Hedef Porta Ulaşılamaz ICMP mesajlarıyla doldurun
  • DNS – Sabit kodlanmış DNS UDP sorgularına sahip Flood DNS sunucuları
  • HOLD – Hedefi TCP bağlantılarıyla doldurun ve belirli bir süre tutun
  • HTTP – Hedefi HTTP istekleriyle doldurun
  • JUNK – Hedefi rastgele sıfır bayt olmayan UDP paketleriyle doldur
  • OVH – Özel UDP paketleriyle OVH sunucularını Flood
  • STD – Hedefi rastgele baytlık UDP paketleriyle doldurun
  • TCP – Sahte kaynak başlıkları içeren TCP paketleriyle hedefi sular altında bırakın
  • TLS – SSL/TLS saldırısı gerçekleştirin
  • UDP – Sahte kaynak başlıkları içeren UDP paketleriyle hedefi sular altında bırakın
  • OVERTCP – Rastgele paket teslim aralıklarıyla TCP saldırısı gerçekleştirin
  • DUR – Devam eden DoS saldırılarını durdurun
  • LDSERVER – İndirme sunucusunu istismar yükü için güncelleyin
  • TARAYICI – SSH/Telnet kaba kuvvet ve açıklardan yararlanma yoluyla diğer cihazlara yayılma
  • SH – Kabuk komutunu çalıştır
  • TCPOFF/TCPON – Muhtemelen kimlik bilgilerini toplamak için 80, 21, 25, 666, 1337 ve 8080 bağlantı noktalarında koklamayı kapatın veya açın
Enemybot ve Mirai tarayıcı kodları karşılaştırıldı
Enemybot ve Mirai tarayıcı kodları karşılaştırıldı (Fortinet)

ARK oyununu ve OVH sunucularını hedef alan komutlar özellikle ilgi çekicidir ve bu şirketleri hedef alan gasp kampanyalarına işaret edebilir.

Ayrıca, LDSERVER komutu, tehdit aktörlerinin indirme sunucusundaki herhangi bir sorunla başa çıkmak için yükler için yeni URL’ler göndermesine izin verir. Bu dikkate değer çünkü çoğu Mirai tabanlı botnet’in sabit, sabit kodlanmış bir indirme URL’si var.

Hedeflenen kemerler ve kusurlar

Enemybot, ortak x86, x64, i686, darwin, bsd, arm ve arm64’ten ppc, m68k ve spc gibi daha nadir ve eski sistem türlerine kadar birden çok mimariyi hedefler.

Pivot noktasının mimarisini tanımlayabildiği ve eşleşen ikili dosyayı C2’den getirebildiği için bu, kötü amaçlı yazılımın yayılma yetenekleri için çok önemlidir.

Açıkta kalan indirme sunucusunda görülen ikili dosyalar
Açıkta kalan indirme sunucusunda görülen ikili dosyalar
(Fortinet)

Hedeflenen güvenlik açıkları açısından Fortinet, örneklenen varyantlar arasındaki kümelerde bazı farklılıklar gördü, ancak her yerde mevcut olan üçü:

  • CVE-2020-17456: Seowon Intech SLC-130 ve SLR-120S yönlendiricilerinde kritik (CVSS 9.8) uzaktan kod yürütme (RCE) hatası.
  • CVE-2018-10823: Birden çok D-Link DWR yönlendiricisini etkileyen yüksek önem derecesi (CVSS 8.8) RCE hatası.
  • CVE-2022-27226: iRZ mobil yönlendiricilerini etkileyen yüksek önem derecesi (CVSS 8.8) rastgele cronjob enjeksiyonu.
Hedef cihazda crontab'ı değiştirme
Hedef cihazda crontab’ı değiştirme (Fortinet)

Varyantına bağlı olarak Enemybot’ta bulunabilecek veya bulunmayabilecek diğer kusurlar şunlardır:

  • CVE-2022-25075 – 25084: TOTOLINK yönlendiricilerini hedefleyen kusurlar grubu. Aynı küme aynı zamanda Beastmode botnet.
  • CVE-2021-44228/2021-45046: Log4Shell ve sonraki kritik güvenlik açıkları Apache Log4j’yi hedefliyor.
  • CVE-2021-41773/CVE-2021-42013: Apache HTTP sunucularını hedefler
  • CVE-2018-20062: ThinkPHP CMS’yi Hedefler
  • CVE-2017-18368: Zyxel P660HN yönlendiricilerini hedefliyor
  • CVE-2016-6277: NETGEAR yönlendiricilerini hedefler
  • CVE-2015-2051: D-Link yönlendiricilerini hedefler
  • CVE-2014-9118: Zhone yönlendiricilerini hedefler
  • NETGEAR DGN1000 istismarı (CVE atanmamış): NETGEAR yönlendiricilerini hedefler

Botnet’leri dışarıda tutun

Enemybot’un veya başka herhangi bir botnet’in cihazlarınıza bulaşmasını ve onları kötü niyetli DDoS botnet’lerine dahil etmesini önlemek için her zaman ürününüz için mevcut en son yazılım ve donanım yazılımı güncellemelerini uygulayın.

Yönlendiriciniz yanıt vermiyorsa, internet hızları düşüyorsa ve normalden daha fazla ısınıyorsa, botnet kötü amaçlı yazılım bulaşmasıyla uğraşıyor olabilirsiniz.

Bu durumda, cihazda manuel bir donanım sıfırlaması gerçekleştirin, yönetici parolasını değiştirmek için yönetim paneline girin ve son olarak doğrudan satıcının web sitesinden mevcut en son güncellemeleri yükleyin.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.