Son zamanlarda artan brute force saldırılar ile GoBruteforcer Kötü Amaçlı Yazılım Web Sunucuları Hedef Alıyor!
GoBruteforcer adlı yeni bir Golang tabanlı botnet, FTP ve MySQL dahil olmak üzere popüler web sunucularını tararken ve bunlara bulaştığı tespit edildi. Meşru bir web sitesinde barındırılan botnet, güvenliği ihlal edilmiş sunuculara bir Internet Relay Chat (IRC) botu dağıtır ve daha fazla talimat almak için siber korsanların C2 sunucusuyla iletişim kurması için kullanır.
Gobruteforcer’a bir bakış
Palo Alto Networks araştırmacıları, gobruteforcer’ın x86, x64 ve ARM dahil olmak üzere birden fazla işlemci mimarisiyle uyumlu olduğunu ortaya çıkardı.
Kötü amaçlı yazılım, yürütme sırasında belirli bağımsız değişkenlerin kullanılması ve hedeflenen hizmetlerin zaten zayıf şifrelerle yüklenmesi gibi belirli özel koşullar gerektirir. Yalnızca bu koşullar yerine getirildiğinde yürütülür.
Savunmasız Unix benzeri platformlara (toplu olarak * nix olarak adlandırılır), onları zayıf şifreler olduğu taktirde brute force saldırıyla sisteme erişmeye çalışır.
Saldırı, MySQL, Postgres, FTP veya phpMyAdmin çalıştıran potansiyel hedef web sunucularının taranmasıyla başlar.
Ağ yayılımı
Geliştiriciler, daha geniş bir potansiyel hedef makine kümesini taramak ve bulmak için kaynak koduna çoklu tarama modülü eklediler.
Saldırı sırasında GoBruteforcer, ağı taramak için Sınıfsız bir Etki Alanları Arası Yönlendirme (CIDR) bloğu kullanır. CIDR, tek bir ağda birden çok IP adresi aralığından oluşan bir koleksiyondur ve tek bir IP adresine kıyasla sızma için daha geniş bir hedef yelpazesi sağlar.
Bir ana bilgisayar bulunduğunda, yukarıda belirtilen hizmetlere ait bağlantı noktalarından herhangi birinin açık olup olmadığını kontrol etmek için sistemi taramaya çalışır ve kaba kuvvet saldırısı yoluyla o makineye girmeye çalışır.
Saldırı Sonrası Aşamalar
Başarılı bir saldırı üzerine GoBruteforcer, saldırganın URL’sine sahip bir IRC botu dağıtır.
Daha sonra C2 sunucusuyla iletişim kurmaya başlar ve saldırganlardan başka komutlar bekler.
Eşzamanlı olarak, kalıcılık için IRC botu kendini bir cronun içine kaydeder.
İlginizi Çekebilecek Haberimiz:
İlgili Haber: Dark Pink APT Grubu Güneydoğu Asya Ülkelerini Hedef Alıyor!
Sonuç
Gobruteforcer’daki çoklu tarama modülü, operatörlerinin ağlar arasında çok çeşitli cihazları hedeflemesine olanak tanır. Brute force saldırılardan kaynaklanan tehditlerden kaçınmanın en iyi yolu, varsayılan şifreleri değiştirmek ve 2FA dahil güçlü bir şifre politikası uygulamaktır.
Haber Kaynağı: Cyware Social