Herkese merhabalar.
Bugün 10 yıl önecesinin bilim kurgu filmlerinden fırlamış bir gerçek saldırı türü hakkında yazıyorum. 2016 yılında ilk olarak ortaya çıkan cybercrime'ın ölümsüz alanı DDoS'un geldiği son nokta, Mirai Botnetler...
Temel DoS Gelişim Süreci:
Sadece web adresleri özelinde olmayıp özel DoS exploitlerinin de etkisi itibariyle, genel DoS saldırısının evrimi şu şekildedir; DDoS saldırıları ilk olarak bir kişinin bir sisteme tehlikeli boyutlarda paket göndermesiyle ortaya çıkıp DoS adını almıştı. DoS saldırıları birden fazla kişi tarafından gerçekleştirince ise siber saldırı örgütleri ve toplululuklarının üyeleriyle birlikte yaptığı (bir zamanlar çok tehlikeli görülen) DDoS isimli saldırı türü ortaya çıktı. Sonrasında bireysel olarak etkili saldırıda bulunmak isteyen kişiler DDoS etkisini sanal ve cloud server'lar üzerinden yaparak sağladı. Ancak siber güvenlik siber suç ile aynı hızda ilerlediği için bu teknikler de geri kaldı ve botnetler gelişti. Zombi bilgisayar ağı ve ağları üzerinden kurbana hissettirmeden, kurbanın cihazı ile hedef sisteme saldırı düzenlediğiniz bu sisteme bot ağları dendi ve Botnet saldırıları olarak özel bir anlam kazandı. Botnetler hem hedefler hem de kurbanlar için büyük hasarlara yol açabildiği için birçok araştırmacının ele aldığı bir konu oldu ancak günümüzde hala demode bir yöntem. Bunlar web sitelerine, 80, 443 ve HTTP protokolü çalıştıran herhangi bir porta yapılan saldırılar özelinde yaşanan gelişmelerdi. Tabii ki şu anda DoS exploits dediğimiz bir alan bulunmakta. prensip yine aynı olsa da her sistemin her protokolü için neredeyse bir DoS exploiti çıkmış durumda. Pentester'lar tarafından özelleştirilmiş DoS'lar da dahil tüm bu tip saldırılar "lamer" işi görüldü, çünkü işin arkasında bir deha veya özel bir sistematik yoktu. Tek dert nasıl daha fazla byte veri göndeririz ve loadbalancer'ları doldurup taşırabiliriz oldu. Ancak şu anda DoS saldırılarının geldiği son nokta diyebileceğimiz ve yeni yeni meşhur olan bir saldırı türü var ki pentesting kadar kompleks olmasa da uygulanan teknikleriyle inanılmaz tehlikeli görünüyor. Mirai Botnet'ler yukarıda saydığım evrimin en gelişkin basamağıdır ve normal bir botnet saldırısından kesinlikle çok daha farklıdır.
Saldırının gerçekleşme mantığının verildiği şemayı inceleyebilirsiniz. Burada CnC ile nasıl yeni bota bulaştığı ve hedefe saldırdığı şematize edilmiş.
Bot ağını insanların bilgisayarlarından kurmak yerine içinde "akıllı" kelimesi geçen her sistemi bot ağına katan ve bunlar üzerinden saldıran bir sistem olarak düşünülebilir Mirai Botnet türü. Kısaca bot ağını özellikle IoT cihazlardan oluşturuyor. Bu yüzden "IoT Botnet" de diyebilirsiniz. Buna akıllı buzdolapları, çamaşır makineleri ve son zamanlarda çıkan birçok küçük ve büyük ev aleti dahil edilebilir. Ancak mirai botnetlerin asıl önlem alınması gereken kolu kurumsal sistemlere de yayılıyor olması. Kendine ait gayet esnek bir koda sahip malware ile Linux tabanlı her sisteme bulaşabiliyor. Kaspersky'ın yayımladığı DDoS raporlarına göre IoT cihazların %21'i Mirai saldırılarının ve varyasyonlarının kurbanı olmuş durumda. Ve bunun ne kadar dev bir miktar olduğunu tahmin edebilirsiniz.
Mirai Botnet, 2016 yılında DVR'lar güvenlik kameraları vs. her sisteme el atıyor. Dev Dyn DDoS saldırılarının da sorumlusu olan Mirai malware'ı anna_senpai isimli bir hacker'ın geliştirdiği düşünülüyor. Koldarın paylaşılmasının ardından birçok mirai benzeri botnet ortaya çıktığı için (esnek bir yazılım olduğundan kolayca herkes kendine entegre edebiliyor) Mirai'nin kendisi tarihe gömülse de ismi yeni bir saldırı türü oldu. "Mirai Botnet variant" adı altında sayısını bilemediğimiz miktarlarda bot ağları gelişti. Küçük bir bilgi olarak "mirai" Japonca gelecek demek olduğu için ve yazanın da Japon kökenli olduğu düşünüldüğü için bundan sonra geliştirilen tüm Mirai Botnetler Japonca isimler alıyor. Ben de bunlardan "yakuza" botnet ağını incelemekteyim son zamanlarda.
Yeni geliştirilen ağların en meşhurlarından biri kullanıcısı (yapımcı diyemiyorum çünkü takas gibi bazı durumlar da var) Kenneth Schuchman'ın geçtiğimiz aylarda tutuklandığı "Satori" botnet ağı. Yaklaşık 15 ay gibi bir sürede 100.000 cihaza bulaşıp yaklaşık 700.000 cihazı etkiledi. Sırf Mirai'ler özelinde çalışan ve bunlara ilgi duyan birçok cybercrime araştırmacısı bulunmakta. Mirai'nin en güzel özelliklerinden biri defalarca bahsettiğim esnekliği. Mesela sırf Huawei cihazları özelinde geliştirilmiş "roses" malware'ı da bulunmakta. Özel radyo sistemleri ve şirketlerinden tutun aklınıza gelebilecek en ufak yere sızan ve bunlar üzerinden saldıran bir tür. Ve hatta son zamanlarda özellikle deepweb üzerinde örgütlenmiş bazı gruplar, su ve gaz tanklarını hedef alıyordu. Daha önceki araştırmalarıma dayanarak diyebilirim ki bu tankları bulmak ve erişmek cidden aşırı kolay. Yani işinde iyi bir yazılımcı ve hacker istediği sistem türünü, markasını vs. hedef alabilir ve saldırabilir bu kaynak kodu yeniden kodlayarak. Bu da şu anda Mirai botnetlerin en tehlikeli olduğu saha yani kurumsal ağlara taşıyor bizleri.
Belirli bir Mirai malware'ı bulaşmış sistemi bulmak çok kolay. Shodan ve benzeri arama motorlarında binlerce sonuç karşınıza çıkıyor. Diyelim ki; "OniOz" isimli bir mirai malware'ının bulaştığı bir sistemin dosyalarında şuna rastlarız: (genel)
ftp1.sh
Onioz.arm4
Onioz.arm6
Onioz.arm7
Onioz.i586
Onioz.m68k
Onioz.mips
Onioz.mpsl
Onioz.ppc
Onioz.sh4
Onioz.x32
Onioz.x86
Mirai botnetlerin ismini öğrenip bu dosyaları Shodan gibi aramotorlarında dork olarak da kullanabilirsiniz. Yani Onioz mirai malware'ı bulaşmış cihazları Onioz.arm6 ya da Onioz.mips diye aratarak bulabilirsiniz. Genelde anonim bağlantıya açık FTP server'ları çıkacaktır.
Bu tür dosyaları açmak ve server'a bağlanmak için genelde C&C, telnet ve SSH protokolleri kullanılmaktadır.
Bu yazımda "gelecek"den gelen bir saldırı tipi olan Mirai Botnet'lere bir giriş yapmak istedim. Örnek bir malware'ın incelenmesi ve teknik anlatımı sonraki bölümde olacak.
Herkese iyi günler dilerim ve okuduğunuz için teşekkürler.
Bugün 10 yıl önecesinin bilim kurgu filmlerinden fırlamış bir gerçek saldırı türü hakkında yazıyorum. 2016 yılında ilk olarak ortaya çıkan cybercrime'ın ölümsüz alanı DDoS'un geldiği son nokta, Mirai Botnetler...
Temel DoS Gelişim Süreci:
Sadece web adresleri özelinde olmayıp özel DoS exploitlerinin de etkisi itibariyle, genel DoS saldırısının evrimi şu şekildedir; DDoS saldırıları ilk olarak bir kişinin bir sisteme tehlikeli boyutlarda paket göndermesiyle ortaya çıkıp DoS adını almıştı. DoS saldırıları birden fazla kişi tarafından gerçekleştirince ise siber saldırı örgütleri ve toplululuklarının üyeleriyle birlikte yaptığı (bir zamanlar çok tehlikeli görülen) DDoS isimli saldırı türü ortaya çıktı. Sonrasında bireysel olarak etkili saldırıda bulunmak isteyen kişiler DDoS etkisini sanal ve cloud server'lar üzerinden yaparak sağladı. Ancak siber güvenlik siber suç ile aynı hızda ilerlediği için bu teknikler de geri kaldı ve botnetler gelişti. Zombi bilgisayar ağı ve ağları üzerinden kurbana hissettirmeden, kurbanın cihazı ile hedef sisteme saldırı düzenlediğiniz bu sisteme bot ağları dendi ve Botnet saldırıları olarak özel bir anlam kazandı. Botnetler hem hedefler hem de kurbanlar için büyük hasarlara yol açabildiği için birçok araştırmacının ele aldığı bir konu oldu ancak günümüzde hala demode bir yöntem. Bunlar web sitelerine, 80, 443 ve HTTP protokolü çalıştıran herhangi bir porta yapılan saldırılar özelinde yaşanan gelişmelerdi. Tabii ki şu anda DoS exploits dediğimiz bir alan bulunmakta. prensip yine aynı olsa da her sistemin her protokolü için neredeyse bir DoS exploiti çıkmış durumda. Pentester'lar tarafından özelleştirilmiş DoS'lar da dahil tüm bu tip saldırılar "lamer" işi görüldü, çünkü işin arkasında bir deha veya özel bir sistematik yoktu. Tek dert nasıl daha fazla byte veri göndeririz ve loadbalancer'ları doldurup taşırabiliriz oldu. Ancak şu anda DoS saldırılarının geldiği son nokta diyebileceğimiz ve yeni yeni meşhur olan bir saldırı türü var ki pentesting kadar kompleks olmasa da uygulanan teknikleriyle inanılmaz tehlikeli görünüyor. Mirai Botnet'ler yukarıda saydığım evrimin en gelişkin basamağıdır ve normal bir botnet saldırısından kesinlikle çok daha farklıdır.
Saldırının gerçekleşme mantığının verildiği şemayı inceleyebilirsiniz. Burada CnC ile nasıl yeni bota bulaştığı ve hedefe saldırdığı şematize edilmiş.
Bot ağını insanların bilgisayarlarından kurmak yerine içinde "akıllı" kelimesi geçen her sistemi bot ağına katan ve bunlar üzerinden saldıran bir sistem olarak düşünülebilir Mirai Botnet türü. Kısaca bot ağını özellikle IoT cihazlardan oluşturuyor. Bu yüzden "IoT Botnet" de diyebilirsiniz. Buna akıllı buzdolapları, çamaşır makineleri ve son zamanlarda çıkan birçok küçük ve büyük ev aleti dahil edilebilir. Ancak mirai botnetlerin asıl önlem alınması gereken kolu kurumsal sistemlere de yayılıyor olması. Kendine ait gayet esnek bir koda sahip malware ile Linux tabanlı her sisteme bulaşabiliyor. Kaspersky'ın yayımladığı DDoS raporlarına göre IoT cihazların %21'i Mirai saldırılarının ve varyasyonlarının kurbanı olmuş durumda. Ve bunun ne kadar dev bir miktar olduğunu tahmin edebilirsiniz.
Mirai Botnet, 2016 yılında DVR'lar güvenlik kameraları vs. her sisteme el atıyor. Dev Dyn DDoS saldırılarının da sorumlusu olan Mirai malware'ı anna_senpai isimli bir hacker'ın geliştirdiği düşünülüyor. Koldarın paylaşılmasının ardından birçok mirai benzeri botnet ortaya çıktığı için (esnek bir yazılım olduğundan kolayca herkes kendine entegre edebiliyor) Mirai'nin kendisi tarihe gömülse de ismi yeni bir saldırı türü oldu. "Mirai Botnet variant" adı altında sayısını bilemediğimiz miktarlarda bot ağları gelişti. Küçük bir bilgi olarak "mirai" Japonca gelecek demek olduğu için ve yazanın da Japon kökenli olduğu düşünüldüğü için bundan sonra geliştirilen tüm Mirai Botnetler Japonca isimler alıyor. Ben de bunlardan "yakuza" botnet ağını incelemekteyim son zamanlarda.
Yeni geliştirilen ağların en meşhurlarından biri kullanıcısı (yapımcı diyemiyorum çünkü takas gibi bazı durumlar da var) Kenneth Schuchman'ın geçtiğimiz aylarda tutuklandığı "Satori" botnet ağı. Yaklaşık 15 ay gibi bir sürede 100.000 cihaza bulaşıp yaklaşık 700.000 cihazı etkiledi. Sırf Mirai'ler özelinde çalışan ve bunlara ilgi duyan birçok cybercrime araştırmacısı bulunmakta. Mirai'nin en güzel özelliklerinden biri defalarca bahsettiğim esnekliği. Mesela sırf Huawei cihazları özelinde geliştirilmiş "roses" malware'ı da bulunmakta. Özel radyo sistemleri ve şirketlerinden tutun aklınıza gelebilecek en ufak yere sızan ve bunlar üzerinden saldıran bir tür. Ve hatta son zamanlarda özellikle deepweb üzerinde örgütlenmiş bazı gruplar, su ve gaz tanklarını hedef alıyordu. Daha önceki araştırmalarıma dayanarak diyebilirim ki bu tankları bulmak ve erişmek cidden aşırı kolay. Yani işinde iyi bir yazılımcı ve hacker istediği sistem türünü, markasını vs. hedef alabilir ve saldırabilir bu kaynak kodu yeniden kodlayarak. Bu da şu anda Mirai botnetlerin en tehlikeli olduğu saha yani kurumsal ağlara taşıyor bizleri.
Belirli bir Mirai malware'ı bulaşmış sistemi bulmak çok kolay. Shodan ve benzeri arama motorlarında binlerce sonuç karşınıza çıkıyor. Diyelim ki; "OniOz" isimli bir mirai malware'ının bulaştığı bir sistemin dosyalarında şuna rastlarız: (genel)
ftp1.sh
Onioz.arm4
Onioz.arm6
Onioz.arm7
Onioz.i586
Onioz.m68k
Onioz.mips
Onioz.mpsl
Onioz.ppc
Onioz.sh4
Onioz.x32
Onioz.x86
Mirai botnetlerin ismini öğrenip bu dosyaları Shodan gibi aramotorlarında dork olarak da kullanabilirsiniz. Yani Onioz mirai malware'ı bulaşmış cihazları Onioz.arm6 ya da Onioz.mips diye aratarak bulabilirsiniz. Genelde anonim bağlantıya açık FTP server'ları çıkacaktır.
Bu tür dosyaları açmak ve server'a bağlanmak için genelde C&C, telnet ve SSH protokolleri kullanılmaktadır.
Bu yazımda "gelecek"den gelen bir saldırı tipi olan Mirai Botnet'lere bir giriş yapmak istedim. Örnek bir malware'ın incelenmesi ve teknik anlatımı sonraki bölümde olacak.
Herkese iyi günler dilerim ve okuduğunuz için teşekkürler.
Son düzenleme:
