Siber SaldırılarSizden GelenlerZararlı Yazılımlar

Smominru Botnet Geçtiğimiz Ay 90.000’den Fazla Bilgisayarı Hackledi

3 dakikada okunur

Güvensiz internet bağlantılı cihazlar, yıllardır farklı spam saldırıları başta olmak üzere farklı türlerde siber suçlara yardımcı olmuştur. Ancak siber suçlular, botnetleri sadece DDoS veya spam amacı ile kullanmayıp kripto para birimleri de içeren karlı bir programa yönelmişlerdir.

Bir kripto para birimi madenciliği ve güvenilir bilgileri çalan Smominru botnet yazılımı, şu anda her ay 90.000’den fazla makineye bulaşan bilgisayar virüslerinden biri haline geldi.

Peki Nedir Bu Smominru?

Smominru, 2017‘ye kadar uzanan bir botnet yazılımıdır ve çeşitleri Hexmen ve Mykings dahil diğer isimler altında da bilinmektedir. Kimlik bilgisi hırsızlığı komut dosyaları, arka kapılar, truva atları ve bir şifreleme para birimi madencisi dahil olmak üzere sunduğu çok sayıda yük ile bilinmektedir.

Bu botnet, araştırmacıların incelemesi neticesinde; öncelikle EternalBlue exploit‘inin kullandığı güvenlik açığından yararlanmakta ve ayrıca MS-SQL, RDP ve Telnet servislerine kaba kuvvet saldırıları gerçekleştirmektedir. Araştırmacılar, yayılma oranının günde yaklaşık 4.700 makine olduğunu ve çoğunlukla etkilenen ülkelerin ABD, Rusya, Çin, Brezilya ve Tayvan olduğunu belirtti.

Guardicore araştırmacıları tarafından geçtiğimiz Çarşamba günü yayınlanan bir rapora (https://www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit) göre;
Yayımlanmamış sistemler kampanyanın dünya çapında sayısız makineye bulaşmasına ve iç ağların içinde yayılmasına izin veriyor” dendi. “Bu nedenle, işletim sistemlerinin mevcut yazılım güncellemeleriyle uyumlu olması çok önemlidir. Ancak zafiyetlerin güncellenmesi hiçbir zaman belirtildiği kadar basit değildir. Bu nedenle, veri merkezinde veya kuruluşta ek güvenlik önlemleri almak çok önemlidir. Muhtemel kötü amaçlı internet trafiğinin ve internete maruz kalan sunucuları sınırlandırmanın yanı sıra, ağın mikro gölgeleme tespiti de güçlü bir güvenlik duruşunu korumak için kritik öneme sahiptir.

Tehdit altındaki makinelerin çoğu, küçük sunucu kategorisine giren bir ila dört CPU çekirdeğine sahipti. Ancak, bunların 200‘ünün sekizden fazla çekirdeği vardı ve bir makinede 32 CPU çekirdeği vardı. Bu makinelerin yarısından fazlası (%55) Windows Server 2008 kullanıyor ve yaklaşık üçte biri (%30) Windows 7 kullanıyordu. Burada işler biraz daha ilginçleşiyor, çünkü Windows‘un bu sürümleri hala Microsoft tarafından destekleniyor ve güvenlik güncelleştirmeleri alıyor.

Araştırmacılar, “Ne yazık ki, bu, birçok şirket pahalı donanımlar için para harcadığı halde, çalışan işletim sistemlerini yamalamak gibi temel güvenlik önlemleri almadıklarını gösteriyor.” dedi.

Smominru Nasıl Çalışıyor?

Smominru hedeflenen sistemlere ilk kez erişim sağladığında, bir trojan modülü ve bir kripto para birimi madencisi kurar. Kurbanların bilgisayarlarının CPU gücünü Monero‘ya getirmek ve zararlı yazılımın işletmecisinin sahip olduğu bir kripto para cüzdanına göndermek için ağ içinde yayılır. Ardından, yeni oluşturulan kullanıcılar ve zamanlanmış görevler gibi çeşitli işlemler için çoklu arka kapılar oluşturur. Süreçleri öldürür, çalıştırılabilir dosyaları siler, diğer oyuncuların arka kapı kimlik bilgilerini bırakır ve yine diğer oyunculara ait zamanlanmış görevleri ve işleri kaldırarak sistemdeki diğer kötü niyetli oyuncuları ortadan kaldırır. Smominru,bulaştığı sistemlere diğer zararlı aktörlerin bulaşmasını önlemek için çeşitli TCP bağlantı noktalarını engeller.

Korunma Yöntemi

Botnet’in solucan kabiliyetleri nedeniyle, Smominru ile enfekte olan herhangi bir makine, kurumsal bir ağ için ciddi bir tehdit oluşturabilir ve bu sadece şifrelemeyle ilgili de değildir. Bu tehdit, yeni yönetim kullanıcıları, zamanlanmış görevler, Windows Yönetim Araçlar (WMI) nesneleri, başlangıç ​​hizmetleri ve ana önyükleme kaydı (MBR) kök seti de dahil olmak üzere, kalıcılığı korumak için çok sayıda veri yükü dağıtır ve etkilenen sistemlerde arka kapılar oluşturur. Bu nedenle Smominru’dan korunmak bir hayli önemli.

Smominru solucanlarının varlığını tespit etmek için Powershell scriptleri (https://github.com/guardicore/labs_campaigns/tree/master/Smominru) mevcut. Ayrıca, Guardiacore blogunda mevcut olan IOC listesini de kontrol edebilirsiniz. Araştırmacılar, zayıf şifrelerin ve EternalBlue güvenlik açıklarının Smominru botnet tarafından yayılmak için kullanıldıklarını söylüyor. Bu nedenle, makinelerinizin mevcut en son güvenlik düzeltmeleriyle düzeltilmesi önemlidir.

[message_box title=”” text=”Gönderen: Ahmet Candan”]

Bunlar ilgini çekebilir
Mobil CasuslukSiber SaldırılarSizden GelenlerZararlı Yazılımlar

Cerberus Zararlısının USOM'u Taklit Eden C2C Sunucusu Tespit Edildi

1 dakikada okunur
ESET‘in araştırma ekibi, Türk kullanıcıları hedefleyen ve araç muayenesi adı altında kullanıcıların kredi kartı bilgilerini isteyip sonrasında ise fatura görünümündeki Cerberus bankacılık…
Siber Saldırılar

Oyunlarla İlişkili Web Saldırıları Nisan'da %50 Artış Gösterdi

3 dakikada okunur
Siber suçlular insanların evlerinde kaldığı dönemde popülerliği artan video oyunlarından yararlanmaya başladı. Nisan ayında, oyun içerikleriyle Kaspersky kullanıcılarını zararlı sitelere yönlendirmeye çalışan…
Araştırma/AnalizSiber Saldırılar

Keepnet Labs 2020 Phishing Yönelimleri Başlıklı Raporunu Yayınladı

1 dakikada okunur
Başarılı siber saldırıların neredeyse %90’ı insan faktöründen kaynaklanmaktadır. Siber suçlular, bir şirketin üst düzey yöneticisi gibi güvenilir bir varlık olarak, hedeflediği kişiye…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.