Mirai Botnet’in yeni çeşidi kurumsal sistemleri hedefliyor

21.05.2019 / Emir Bora Turan

Yeni bir Mirai botnet çeşidi, işletmeler tarafından kullanılan WePresent WIPG-1000 Kablosuz Sunum Sistemlerini ve LG Supersign TV‘leri hedefliyor.

Araştırmacılar, Ocak ayından bu yana kurumsal kablosuz sunum ve görüntüleme sistemlerindeki güvenlik açıklarını hedef alan ünlü Mirai IoT botnet‘in yeni bir türünü keşfetti.

Palo Alto Network’ün Birim 42 araştırmacıları, Mirai’nin bu yeni çeşidinin özellikle farklı olduğunu belirterek, hassas, tüketici IoT (Internet of Things) cihazlarının aksine kurumsal odaklı cihazları hedef aldığını; yani, WePresent WIPG-1000 Kablosuz Sunum Sistemleri’ni ve LG Supersign TV’leri hedef aldığını belirtti.

Her iki sistemin de kurumsal işletme ortamlarında sıklıkla kullanıldığı bilinmektedir.

Yeni Exploit’ler

LG Supersign TV’ler için, birçok TV’de yerleşik olarak bulunan LG SupersignEZ CMS, yanlış parametre işleme nedeniyle yapılan uzaktan kod yürütme saldırılarının (CVE-2018-17173) çalıştırılmasına neden oluyor. WePresent WIPG-1000 için ise bu yeni çeşit Mirai, command injection saldırısını hedefliyor.

WePresent ve LG şirketlerinden zafiyetlerle ilgili henüz bir açıklama gelmedi.

Bu ticari yazılımların yanında, yeni çeşit Mirai, router’lar (Linksys E1500/E2500 ve ZTE ZXV10 H108L) gibi çeşitli gömülü donanımları, ağ depolama aygıtlarını, NVR‘ler ve IP kameraları (Netgear ReadyNAS Surveillance 1.4.3-16 ve NUOO NVRMini cihazları) bunlara karşı birçok exploit’i kullanarak hedef alıyor.

Araştırmacılar, yeni Mirai çeşidinin 11‘i yeni olmakla beraber toplamda 27 tane exploit içerdiğini belirtti.

Araştırmacılar Pazartesi günü yayımlanan yazıda, “Bu yeni özellikler botnet’e geniş bir saldırı yüzeyi sağlıyor. Özellikle, kurumsal bağlantıların hedeflenmesi aynı zamanda, daha geniş bant genişliğine erişilmesine izin veriyor ve DDoS saldırıları için botnet’in daha fazla saldırı gücü ortaya çıkarmasına neden oluyor” dedi. “Botnet’in kurumsal güvenlik açıklarını hedeflediğini gözlemlediğimiz örnekler ise, Apache Struts ve SonicWall‘a karşı yapılan exploit’lerin de saldırılara dahil edilmesiydi” diye eklediler.

Mirai, 2016‘da büyük websitelerine saldırı yapmak amacıyla 300.000‘den fazla IoT cihazını kullanan büyük, eşi benzeri görülmemiş bir DDoS saldırısında kullanılmasıyla tanınıyor.

Brute Force Taktikleri Gelişiyor

Yeni istismarların yanı sıra, Mirai’nin yeni çeşidi, cihazlara yönelik brute force saldırılarına wordlist‘ine eklediği yeni, varsayılan kimlik bilgileriyle devam ediyor.

Varyantın daha fazla incelenmesinin ardından, araştırmacılar, bu yeni çeşit botnet’te daha önce rastlamadıkları olağan dışı bir brute force referansı kullanıldığını söylediler.

Cihazlar saldırıya uğradığında, kötü amaçlı yazılım, değişiklikler için Mirai payload’ını çekiyor ve cihazı botnet’lerin arasına ekliyor. Böylece, HTTP flood kullanılarak yapılan DDoS saldırılarında kullanılmak için zombi cihaz hazır hale geliyor.

Araştırmacılar, varyantın, shell script payload‘ının hala aktif olduğunu ve ilginç bir şekilde Kolombiyada bulunan “elektronik güvenlik, entegrasyon ve alarm izleme” işleri için oluşturulmuş bir web sitesinde barındırıldığını söyledi.

https://h4cktimes.com/wp-content/uploads/Figure-1-Shell-script-payload-fetched-by-exploits-1024x344.png

Araştırmacılar, IoT/Linux botnet‘lerin, ya daha fazla cihaza ulaşmak ve ağlarına eklemek için daha farklı exploit’ler kullandığını ya da daha çeşitli varyasyonlar denemek için oluşturulan wordlist’lerle brute force saldırıları yaptığını belirtti. Ayrıca, kurumsal güvenlik açıkları hedeflenerek, tüketici cihaz bağlantılarından daha büyük bant genişliğine ulaşarak, DDoS saldırıları için daha fazla saldırı gücü sağlanıyor denildi.

Siber suçlular, savunmasız bir şekilde çoğalan IoT cihazlarıyla orantılı olarak Mirai’nin farklı türevlerini ortaya çıkarmaya devam ediyorlar…

Yazan: İsmail SAYGILI (Eczacıbaşı Bilişim)