Yeni Kaiji kötü amaçlı yazılımı, SSH kaba kuvvet saldırıları yoluyla IoT cihazlarını hedefliyor

Güvenlik araştırmacıları, virüs bulaştırmak için özel olarak tasarlanmış başka bir kötü amaçlı yazılım türü daha keşfettiklerini söylüyor Linux tabanlı sunucular ve akıllı Nesnelerin İnterneti (IoT) cihazları ve ardından DDoS'u başlatmak için bu sistemleri kötüye kullanma saldırılar.

Kaiji adı verilen bu yeni kötü amaçlı yazılım, geçen hafta adı geçen bir güvenlik araştırmacısı tarafından tespit edildi. Kötü Amaçlı YazılımMustDie ve Intezer Labs'taki ekip.

Kötü amaçlı yazılım, diğer IoT kötü amaçlı yazılım türlerinden çok farklıdır, çünkü öncelikle Go'da yazılmıştır. IoT kötü amaçlı yazılımlarının çoğunun kodlandığı iki dil olan C veya C++ yerine programlama dili günler.

Go kötü amaçlı yazılımı nadirdir, etkili olmadığından değil, zaten çok fazla C veya C++ olduğundan GitHub'da ve hack forumlarında serbestçe erişilebilen projeler, IoT botnet oluşturmayı basit bir hale getiriyor operasyon.

Bugünlerde çok az sayıda IoT kötü amaçlı yazılım yazarı, zamanlarını sıfırdan bir botnet kodlamaya harcıyor. Aslında, IoT botnet'lerinin büyük çoğunluğu, aynı eski botnet kod tabanlarının yeni varyasyonları halinde birleştirilen, birden fazla türden alınan farklı parça ve modüllerin bir karışımıdır.

"Nesnelerin İnterneti (IoT) botnet ekosistemi güvenlik açısından nispeten iyi belgelenmiştir "uzmanlar" dedi Intezer'de kötü amaçlı yazılım analisti olan ve kodu bir raporda analiz eden Paul Litvak dün yayınlandı.

"Bir botnet'in araçlarının sıfırdan yazıldığını pek sık görmezsiniz."

Kaiji, SSH kaba kuvvet saldırıları yoluyla yayılıyor

Litvak ve MalwareMustDie'a göre Kaiji zaten vahşi doğada tespit edildi, yavaş yavaş dünyaya yayılıyor ve yeni kurbanlar yaratıyor.

Intezer araştırmacısı, şu an için botnet'in yama yapılmamış cihazlara bulaşmak için açıklardan yararlanamayacağını söylüyor. Bunun yerine Kaiji botnet, SSH bağlantı noktalarını internette açıkta bırakan IoT cihazlarına ve Linux sunucularına karşı kaba kuvvet saldırıları gerçekleştiriyor.

Litvak, yalnızca "kök" hesabın hedeflendiğini söylüyor. Bunun nedeni, botnet'in ham verileri manipüle etmek için virüs bulaşmış cihazlara root erişimine ihtiyaç duymasıdır. gerçekleştirmek istedikleri DDoS saldırıları ve yapmak istedikleri diğer işlemler için ağ paketleri gerçekleştirmek.

Kaiji, bir cihazın kök hesabına erişim sağladığında cihazı üç şekilde kullanacak. İlk olarak DDoS saldırıları için. İkincisi, diğer cihazlara karşı daha fazla SSH kaba kuvvet saldırısı gerçekleştirmek. Üçüncüsü, tüm yerel SSH anahtarlarını çalar ve kök hesabın geçmişte yönettiği diğer cihazlara yayılır.

Kaiji hala geliştirilme aşamasında görünüyor

Litvak, botnet'in altı farklı türde DDoS saldırısı başlatma kapasitesine sahip olmasına rağmen açıkça devam eden bir çalışma olduğunu söylüyor.

Kod, diğer daha yerleşik botnet'lerle karşılaştırıldığında özelliklerden yoksundu ve bazılarında "demo" dizesini içeriyordu. Rootkit modülü sıklıkla kendisini çok fazla kez çağırıyor ve cihazın hafızasını tüketiyor, bu da bir soruna yol açıyordu. kaza.

Dahası, Kaiji komuta ve kontrol sunucuları da sıklıkla çevrimdışı oluyor, virüs bulaşmış cihazları ana sunucudan mahrum bırakıyor ve diğer botnet'ler tarafından ele geçirilmeye açık hale geliyordu.

Ancak bu botnet şu anda bir tehdit olmasa da gelecekte olmayacağı anlamına gelmiyor. Hem MalwareMustDie hem de Litvak artık evrimini takip ediyor.

İki araştırmacı aynı zamanda botnet'in Çinli bir kişinin işi olduğu konusunda da hemfikir. geliştirici, koddaki pek çok işlevin İngilizce yazılmış olmasına rağmen yalnızca Çince terimler.

Botnet parçalanması

Kaiji, son aylarda bazı ilginç gelişmelerin yaşandığı IoT kötü amaçlı yazılım sahnesinde ortaya çıkan en son IoT botnet'i oldu.

Botnet'lerin 100.000 veya 500.000'den fazla cihaza bulaştığı günler geride kaldı. Günümüzde çoğu IoT botnet'i nadiren 15.000 - 20.000 virüslü cihaza ulaşıyor ve bunlar yalnızca başarılı olanlar.

Açık kaynaklı botnet kitlerinin yaygınlığı nedeniyle artık her gün aktif olan yüzlerce botnet var ve hepsi aynı sayıda IoT cihazını etkilemek ve kontrol etmek için mücadele ediyor. Sonuç olarak, IoT botnet pazarının tamamı artık çok sayıda küçük oyuncuya bölünmüş durumda.

Şu anda en büyük botnet'lerden biri Mozi botnet'tir. CenturyLink'in Black Lotus Laboratuvarlarından bir rapor, son dört ayda 16.000'den fazla bota bulaşmayı başarmıştı.

Diğer önemli yeni botnet'ler arasında yeni Sahte aramalar IoT kötü amaçlı yazılım türü, Mukaşi, Ve karanlık_nexus.