Yeni NKAbuse Kötü Amaçlı Yazılımı, DDoS Saldırıları için NKN Blockchain Teknolojisini İstismar Ediyor

Rus siber güvenlik şirketi Kaspersky, perşembe günü yayınladığı bir raporda, "Kötü amaçlı yazılım, eşler arasında veri alışverişi için NKN teknolojisini kullanıyor, güçlü bir implant işlevi görüyor ve hem flooder hem de arka kapı yetenekleriyle donatılmış" dedi.

62.000'den fazla düğüme sahip olan NKN, "kullanıcıların kullanılmayan bant genişliğini paylaşmasına ve token ödülleri kazanmasına olanak tanıyan, günümüz İnterneti üzerine inşa edilmiş bir yazılım bindirme ağı" olarak tanımlanıyor. Mevcut TCP/IP yığınının üzerine bir blok zinciri katmanı içerir.

Tehdit aktörlerinin komuta ve kontrol (C2) amaçları için ortaya çıkan iletişim protokollerinden yararlandığı ve tespit edilmekten kaçındığı bilinse de, NKAbuse, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek ve güvenliği ihlal edilmiş sistemler içinde bir implant işlevi görmek için blok zinciri teknolojisinden yararlanır.

Özellikle, bot yöneticisiyle konuşmak ve komutları almak/göndermek için protokolü kullanır. Kötü amaçlı yazılım, Go programlama dilinde uygulanmaktadır ve kanıtlar, öncelikle Kolombiya, Meksika ve Vietnam'daki IoT cihazları da dahil olmak üzere Linux sistemlerini ayırmak için kullanıldığına işaret etmektedir.

Saldırıların ne kadar yaygın olduğu şu anda bilinmiyor, ancak Kaspersky tarafından tespit edilen bir örnek, Apache Struts'taki (CVE-2017-5638, CVSS puanı: 10.0) altı yıllık kritik bir güvenlik açığından isimsiz bir finans şirketini ihlal etmek için yararlanılmasını gerektiriyor.

Başarılı bir istismarı, implantı uzak bir sunucudan indirmekten sorumlu olan ancak hedef konağın işletim sistemini kontrol etmeden önce olmayan bir ilk kabuk betiğinin teslimi takip eder. Kötü amaçlı yazılımı barındıran sunucu, çeşitli CPU mimarilerini desteklemek için NKAbuse'un sekiz farklı sürümünü barındırır: i386, arm64, arm, amd64, mips, mipsel, mips64 ve mips64el.

Dikkate değer bir diğer husus, kendi kendine yayılma mekanizmasının olmamasıdır, yani kötü amaçlı yazılımın, güvenlik kusurlarından yararlanılması gibi başka bir ilk erişim yolu ile bir hedefe teslim edilmesi gerekir.

Kaspersky, "NKAbuse, yeniden başlatmalardan kurtulmak için cron işlerinden yararlanıyor" dedi. "Bunu başarmak için kök olması gerekiyor. Mevcut kullanıcı kimliğinin 0 olup olmadığını kontrol eder ve eğer öyleyse, her yeniden başlatma için kendisini ekleyerek mevcut crontab'ı ayrıştırmaya devam eder.

NKAbuse ayrıca, bot yöneticisine periyodik olarak sistem hakkında bilgi içeren bir sinyal mesajı göndermesine, mevcut ekranın ekran görüntülerini yakalamasına, dosya işlemlerini gerçekleştirmesine ve sistem komutlarını çalıştırmasına olanak tanıyan bir dizi arka kapı özelliği içerir.

Kaspersky, "Bu özel implant, bir botnet'e entegrasyon için titizlikle hazırlanmış gibi görünüyor, ancak belirli bir ana bilgisayarda arka kapı olarak işlev görmeye uyum sağlayabilir" dedi. "Dahası, blok zinciri teknolojisini kullanması hem güvenilirliği hem de anonimliği sağlıyor, bu da bu botnet'in zaman içinde istikrarlı bir şekilde genişleme potansiyelini gösteriyor ve görünüşe göre tanımlanabilir bir merkezi denetleyiciden yoksun."

NKN'nin kurucu ortağı Zheng "Bruce" Li, "NKN'nin bu şekilde kullanıldığını görmek bizi şaşırttı" dedi. "NKN'yi güvenli, özel, merkezi olmayan ve büyük ölçüde ölçeklenebilir gerçek eşler arası iletişim sağlamak için oluşturduk. Birlikte interneti güvenli ve tarafsız hale getirip getiremeyeceğimizi görmek için rapor hakkında daha fazla bilgi edinmeye çalışıyoruz."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği