Güvenlik Seviyesi Zayıf SSH Sistemler Chalubo Botnet Hedefinde

Yeni keşfedilen Chalubo Botnet, Linux tabanlı SSH servisini kullanan sistemleri tehdit ediyor ve bilgisayarınızı DDOS atak yapılabilmek üzere saldırıya hazır hale getiriyor. Zararlı yazılımı kodlayan kişi, Windows işletim sistemini hedef alan zararlı yazılım tekniklerini kullanarak yazılımını güvenlik mekanizmalarından kaçırabiliyor ve ayrıca anti analiz yöntemlerini kullanarak analiz işlemini zorlaştırabiliyor.

Araştırmacılara göre Chalubo’nun çıkışı 2018 Ağustos ayı, en etkili zamanı ise Eylül ayı olmuştur. Bu saldırıdan sadece x86 yani 32 bit işlemciler etkilenmektedir. Kurban cihazdan alınan üç ana bileşenle atak başlatılıyor. Saldırgan ana bot bileşenini ve buna bağlı olan Lua kodunu Cha-Cha Stream şifreleme algoritmasını kullanarak şifreliyor. SophosLabs’ten Timothy Easton’a göre bundan önceki ataları gibi Xor.DDOS ve Mirai zararlı yazılımlarından kodlar içermekteymiş.

Chalubo’nun saldırırken neler yaptığına geçmeden önce yazının daha iyi anlaşılması açısından Lua terimine değinmekte fayda var. Lua C programlama dilinden üretilmiş, ağırlıklı olarak gömülü sistemler ve istemciler için tasarlanmış programlama dilidir.

Chalubo saldırırken neler yapıyor?

SophosLabs araştırmacıları Chalubo Botnet’i Honeyspot yani bal küpü dedikleri tuzak makinelerde çalıştırdıklarında SSH servisine kaba kuvvet saldırısı gerçekleştirdiğini tespit etmişlerdir. Tuzak makinede varsayılan/zayıf parola ve kullanıcı adları kullanıldığını fark eden Chalubo bu sayede root erişimi sağlamaktadır. Daha sonra özel olarak yazılmış Lua kod parçacığı ile zararlı bileşenler bilgisayara indiriliyor. Downloader bileşeni ile Mirai Botnet’e ait bir fonksiyonu kullanarak Chalubo’ya özel yeni bir klasör oluşturuyor ve şifreleme aşamasına geçiyor. Burada kullanılan şifreleme teknikleri Linux zararlı yazılımlarında görülen tipik bir şifrelemeden farklı olduğu belirtilmektedir. Şifreleme işleminden sonra ana bot kurbana yükleniyor. Bot Lua kod parçacığı sayesinde komuta bilgisayar ile iletişime geçip oradan emir beklemeye başlıyor. Bot tarafından alınan Lua kodu, Çin’e ait bir IP adresinin 10100 portuna SYN flood atak yapılması için yazıldığı ve atağı yaparken kaynak IP adresini maskelemediği tespit edilmiştir. Chalubo Botnet yaygın kullanılan kullanıcı adları ve parolalarını SSH servisine karşı kullanmaktadır.

Korunmak için neler yapabiliriz?

– SSH servislerine yapılan başarısız giriş deneme loglarının incelenmesi ve sunucunun bant genişliğinde anormal bir değişikliğin var olup olmadığının takip edilmesi ile saldırı tespit edilebilir.

– Linux sistemlerde 8852 portundan dışarı giden komuta trafiğin analiz edilmesinde fayda vardır. Tabi her zaman bu yol kullanılmayabilir.

– Bu saldırıdan korunmak için en mantıklı yöntem SSH parolalarımızı varsayılanda bırakmamak, daha güçlü parolalar seçmek veya parola kullanmayı bırakarak SSH Key Authentication (SSH Anahtar)  kullanmak olacaktır.

Alper’in notu: SHODAN tarafından Türkiye’de endekslenmiş 77.000’den fazlan SSH servisi var. Bu saldırıyı ve Oracle güncellemesi sonucunda ortaya çıkan LibSSH açığı düşünülürse size ait bir SSH servisi internete açıksa güvenlik seviyesini gözden geçirmekte fayda olacaktır. SSH servisinizin internete açık olmamasını tercih ederim, açık olması şart değilse veya başka bir yöntem kullanabiliyorsanız lütfen telnet, RDP veya SSH gibi servisleri internete açmayın.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*