Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Smominru Botnet Geçtiğimiz Ay 90.000’den Fazla Bilgisayarı Hackledi

0

Güvensiz internet bağlantılı cihazlar, yıllardır farklı spam saldırıları başta olmak üzere farklı türlerde siber suçlara yardımcı olmuştur. Ancak siber suçlular, botnetleri sadece DDoS veya spam amacı ile kullanmayıp kripto para birimleri de içeren karlı bir programa yönelmişlerdir.

Bir kripto para birimi madenciliği ve güvenilir bilgileri çalan Smominru botnet yazılımı, şu anda her ay 90.000’den fazla makineye bulaşan bilgisayar virüslerinden biri haline geldi.

Peki Nedir Bu Smominru?

Smominru, 2017‘ye kadar uzanan bir botnet yazılımıdır ve çeşitleri Hexmen ve Mykings dahil diğer isimler altında da bilinmektedir. Kimlik bilgisi hırsızlığı komut dosyaları, arka kapılar, truva atları ve bir şifreleme para birimi madencisi dahil olmak üzere sunduğu çok sayıda yük ile bilinmektedir.

Bu botnet, araştırmacıların incelemesi neticesinde; öncelikle EternalBlue exploit‘inin kullandığı güvenlik açığından yararlanmakta ve ayrıca MS-SQL, RDP ve Telnet servislerine kaba kuvvet saldırıları gerçekleştirmektedir. Araştırmacılar, yayılma oranının günde yaklaşık 4.700 makine olduğunu ve çoğunlukla etkilenen ülkelerin ABD, Rusya, Çin, Brezilya ve Tayvan olduğunu belirtti.

Guardicore araştırmacıları tarafından geçtiğimiz Çarşamba günü yayınlanan bir rapora (https://www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit) göre;
Yayımlanmamış sistemler kampanyanın dünya çapında sayısız makineye bulaşmasına ve iç ağların içinde yayılmasına izin veriyor” dendi. “Bu nedenle, işletim sistemlerinin mevcut yazılım güncellemeleriyle uyumlu olması çok önemlidir. Ancak zafiyetlerin güncellenmesi hiçbir zaman belirtildiği kadar basit değildir. Bu nedenle, veri merkezinde veya kuruluşta ek güvenlik önlemleri almak çok önemlidir. Muhtemel kötü amaçlı internet trafiğinin ve internete maruz kalan sunucuları sınırlandırmanın yanı sıra, ağın mikro gölgeleme tespiti de güçlü bir güvenlik duruşunu korumak için kritik öneme sahiptir.

Tehdit altındaki makinelerin çoğu, küçük sunucu kategorisine giren bir ila dört CPU çekirdeğine sahipti. Ancak, bunların 200‘ünün sekizden fazla çekirdeği vardı ve bir makinede 32 CPU çekirdeği vardı. Bu makinelerin yarısından fazlası (%55) Windows Server 2008 kullanıyor ve yaklaşık üçte biri (%30) Windows 7 kullanıyordu. Burada işler biraz daha ilginçleşiyor, çünkü Windows‘un bu sürümleri hala Microsoft tarafından destekleniyor ve güvenlik güncelleştirmeleri alıyor.

Araştırmacılar, “Ne yazık ki, bu, birçok şirket pahalı donanımlar için para harcadığı halde, çalışan işletim sistemlerini yamalamak gibi temel güvenlik önlemleri almadıklarını gösteriyor.” dedi.

Smominru Nasıl Çalışıyor?

Smominru hedeflenen sistemlere ilk kez erişim sağladığında, bir trojan modülü ve bir kripto para birimi madencisi kurar. Kurbanların bilgisayarlarının CPU gücünü Monero‘ya getirmek ve zararlı yazılımın işletmecisinin sahip olduğu bir kripto para cüzdanına göndermek için ağ içinde yayılır. Ardından, yeni oluşturulan kullanıcılar ve zamanlanmış görevler gibi çeşitli işlemler için çoklu arka kapılar oluşturur. Süreçleri öldürür, çalıştırılabilir dosyaları siler, diğer oyuncuların arka kapı kimlik bilgilerini bırakır ve yine diğer oyunculara ait zamanlanmış görevleri ve işleri kaldırarak sistemdeki diğer kötü niyetli oyuncuları ortadan kaldırır. Smominru,bulaştığı sistemlere diğer zararlı aktörlerin bulaşmasını önlemek için çeşitli TCP bağlantı noktalarını engeller.

Korunma Yöntemi

Botnet’in solucan kabiliyetleri nedeniyle, Smominru ile enfekte olan herhangi bir makine, kurumsal bir ağ için ciddi bir tehdit oluşturabilir ve bu sadece şifrelemeyle ilgili de değildir. Bu tehdit, yeni yönetim kullanıcıları, zamanlanmış görevler, Windows Yönetim Araçlar (WMI) nesneleri, başlangıç ​​hizmetleri ve ana önyükleme kaydı (MBR) kök seti de dahil olmak üzere, kalıcılığı korumak için çok sayıda veri yükü dağıtır ve etkilenen sistemlerde arka kapılar oluşturur. Bu nedenle Smominru’dan korunmak bir hayli önemli.

Smominru solucanlarının varlığını tespit etmek için Powershell scriptleri (https://github.com/guardicore/labs_campaigns/tree/master/Smominru) mevcut. Ayrıca, Guardiacore blogunda mevcut olan IOC listesini de kontrol edebilirsiniz. Araştırmacılar, zayıf şifrelerin ve EternalBlue güvenlik açıklarının Smominru botnet tarafından yayılmak için kullanıldıklarını söylüyor. Bu nedenle, makinelerinizin mevcut en son güvenlik düzeltmeleriyle düzeltilmesi önemlidir.

Gönderen: Ahmet Candan

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.