Siber güvenlik araştırmacıları, Mirai tabanlı ve kendini xlabs_v1 olarak adlandıran yeni bir botnet keşfetti. Hunt.io tarafından Hollanda menşeli bir sunucuda tespit edilen bu zararlı yazılım, internete açık cihazları ele geçirerek özellikle oyun ve Minecraft sunucularını hedef alan kiralık bir DDoS ağına (hizmet reddi saldırısı) dahil ediyor.

Bu botnet'in en dikkat çekici özelliği, varsayılan olarak TCP 5555 portunda Android Debug Bridge (ADB) hizmeti açık bırakılmış cihazları aramasıdır. Android TV kutuları, set üstü kutular ve akıllı TV'ler potansiyel hedefler arasında yer alıyor. Ancak yazılım sadece Android ile sınırlı kalmıyor; ARM, MIPS, x86-64 ve ARC mimarilerini de destekleyerek ev yönlendiricilerine (router) ve IoT donanımlarına sıçrayabiliyor. Bulaşma işlemi ise doğrudan ADB-shell komutlarıyla cihazın geçici dizinlerine yapılıyor. Teknik kapasitesine baktığımızda, xlabs_v1'in TCP, UDP ve ham protokoller üzerinden 21 farklı saldırı varyantı sunduğunu görüyoruz. Özellikle tüketici sınıfı DDoS korumalarını atlatabilen varyantlara sahip olan bu yazılım, cihazdaki rakip zararlıları temizleyen özel bir "katil" alt sistemine de sahip. Bu sistem sayesinde cihazın tüm bant genişliği sadece "Tadashi" takma adını kullanan bu tehdit aktörünün saldırıları için rezerve edilebiliyor.

Tehdit aktörünün kiralama servisi için oldukça ilginç bir ticari iş modeli kurduğu da anlaşılıyor. Zararlı yazılım, ele geçirdiği cihazın internet hızını ölçmek için en yakın Speedtest sunucusuna binlerce paralel bağlantı açarak bir kapasite testi gerçekleştiriyor. Elde edilen bu veri aktarım hızı sonuçları operatör paneline iletiliyor ve böylece müşterilere kurbanların bant genişliğine göre kademeli bir fiyatlandırma sunuluyor. İlginç bir şekilde, botnet cihazda kalıcılık (persistence) sağlamak için kendini diske yazmıyor veya başlangıç ayarlarına müdahale etmiyor. Araştırmacılara göre bu durum, operatörün kalıcılık sağlamak yerine açık bulduğu cihazları aynı ADB zafiyeti üzerinden sürekli yeniden enfekte ederek ağını taze tutmayı tercih eden bilinçli bir tasarım tercihi. Sonuç olarak xlabs_v1; sıradan Mirai türevlerinden daha gelişmiş, teknik karmaşıklıktan ziyade uygun fiyat ve saldırı çeşitliliğiyle piyasada yer edinmeye çalışan orta seviye ama tehlikeli bir botnet operasyonu olarak öne çıkıyor.

Bu tip IoT ve Botnet saldırılarından korunmak için almamız gereken tedbirlerin bazıları;

• Gereksiz Servislerin ve Portların Kapatılması

• Ağ Segmentasyonu (İzolasyon)

• Donanım ve Yazılım Güncellemeleri

• Trafik ve Bant Genişliği İzleme

• Varsayılan Yapılandırmaların Değiştirilmesi

  
  

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.