ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Windows ve Linux Sunucuları Hedef Alan RubyMiner Malware

Windows ve Linux sunucuları hedef alan yeni bir zararlı ile karşı karşıyayız. Zararlılar bitmez J bizlerde zararlı ve zararlılar mücadele için neler yapabiliriz noktasında kendi korunma ve tespit yöntemlerimizi olgunlaştırmak zorundayız. 

Yaklaşık 1 hafta evvel ortaya çıkmış olan “RubyMiner” Malware zararlı sınıfında exploit davranışlarını sergilemektedir. Bu exploit daha evvel kendine bir çalışma zemini bulmuş ve RCE tabanlı olarak kendisine uzak sistemlere erişim hakkı tanışmıştır.

Yeni nesil atak tipleri sınıfında kendisine “Ruby” yazılım dili platformunda kendine yer bulmuştur ve yeniden Windows ve Linux tabanlı işletim sistemlerini hedefleyen “HTTP” protokolü ile karşı sistemlere nüfus etmiştir.

Bitcoin ve türevi dijital madencilik temelleri ile kendine hayat bulan yeni nesil borsa ve yatırım faaliyetleri üzerinden faydalanarak işletim sistemlerinde “Browser” tarayıcı tabanlı olarak veri veya madencilik kazılarını son kullanıcılarının farkında olmadan gerçekleştiriyor ve gerçekleştirmeye devam edecektir.

CVE 2013-0156 kodlu olarak 2013 yılında bu zafiyet tanımlanmış ve günümüzde yeniden karşımıza çıkmaktadır.

Zafiyet kaynağı ve IP adresi detaylarına kadar aşağıdaki tablodan bilgi alabilirsiniz.

 

clip_image002[6]

 

HTTP protokol tabanlı olarak gerçekleştirilen bu atak, HTTP PoST request mesajı ile birlikte, HTTP protokol paketi içerisine aşağıdaki zararlı içeriğe yönlendirilen “payload” u yüklemektedir.

“Payload” içeriğini ve çıktısını görüntüleyebilirsiniz.

clip_image004[6]

 

Basit bir “bash script” sayesinde hedef host makineye her dakika ve her saat başında “robot.txt” dosyası sayesinde içerik sağlayıcı olarak çalışmaktadır.

clip_image006[6]

 

Genel çalışma yapısı bu şekilde işleyen bu zararlının asıl hedef saldırı “coinminer” olarak hedeften kaynak, Kaynak’tan hedef yönüne “mining” madencilik faaliyetlerini aşağıdaki IP adresi ve kaynak üzerinden saldırıyı gerçekleştirir.

clip_image008[6] 

Bu tespitlerin ardından,” Browser” ve İşletim sistemlerini göz önünde bulundurarak, ilgili IP adresi üzerinden protokol tabanlı olarak firewall ilkesi yazarak çözebilirsiniz veya “CVE 2013-0156” için ilgili güvenlik yamasından faydalanabilirsiniz.

Hem eski, hemde yeni nesil olan bu tehdit için “mining” saldırılarını engellemek veya kontrol altına almak için gerekli çalışmaların yapılmasında fayda var.

 

Keyifli okumalar ve Bol çözümlü günler.

Tarih : 21 Ocak 2018 Pazar 15:58 Yayınlayan: Gökhan TATAR

Yorumlar

 

Ismail Yıldırım

Eline sağlık gökhan hocam.

Ocak 22, 2018 09:21
 

Bahattin EKEN

Hocam bilgilendirme için teşekkürler. Windows sunucular için güvenlik yamaları çıktı mı?

Ocak 22, 2018 09:36
 

Samet İleli

yaklaşık olarak 1 aya yakın bunlarla uğraşıyorum monero coin kazıcılarının ip adresinden txt olarak çektikleri scriptle aktive olup cpu nun yüzde 98 ile işlem yapıyor. ip adreslerinin bloklayarak bir nebze kurtuldum sürekli olarakta takipteyim. ip değiştikçe blokluyorum. paylaşım için teşekkürler

Ocak 22, 2018 18:26
 

Gökhan YÜCELER

Gökhan hocam, emeğine sağlık .

Ocak 23, 2018 14:43
 

Mesut SARIYAR

Emeğine sağlık gayet güzel olmuş

Ocak 23, 2018 17:45
 

Bilgehan POYRAZ

Hocam yine ince görüş ve tesirli vuruş. Büyüksün hocam. Eline sağlık.

Ocak 23, 2018 20:21
 

Samet İleli

teşekkür ederiz emeğinize elinize sağlık . benzer bir durum başımda ve sadece ilgili scriptlerin çekildiği ip ve web sitelerini bloklayarak kurtuldum gibi ama arka planda ilgili exeyi çalıştıran powershell ve cmd ile birlikte iexplorer.exe çalışmaya ve sürekli olarak açılmaya devam ediyor. kesin çözüm bulabilen var mı ?

Ocak 25, 2018 12:41
 

onur çabuk

elinize sağlık teşekkürler.

Ocak 26, 2018 11:55
 

Gökhan TATAR

Değerli yorumlarınız için teşekkürler arkadaşlar,

yorumlara post altında değilde mesaj altında cevap verebiliyoruz. Anlayışınız için teşekkürler.

Ocak 29, 2018 23:01
 

Murat VARDAR

Güzel konular hocam, elinize sağlık, teşekkürler.

Şubat 13, 2018 21:52
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Bu Kategori

Hızlı aktarma

Etiketler