Microsoft, TrickBot saldırganları tarafından saldırıya uğrayan MikroTik yönlendiricileri command ve control server’lar için proxy görevi gören bir tarayıcı yayınladı. TrickBot yıllardır, virüslü cihaz ile command ve control server (C2) arasında bir proxy görevi görmek için yönlendiriciler gibi IoT cihazlarını kullandı. Bu proxy’ler, araştırmacıların ve kolluk kuvvetlerinin command ve control altyapılarını bulmasını ve bozmasını önlemek için kullanılıyor.
Kötü amaçlı trafiği yönlendirme
TrickBot operasyonları, MikroTik yönlendiricileri hacklerken, varsayılan kimlik bilgilerini kullanarak ve ardından parolayı tahmin etmek için brute force gibi çeşitli yöntemler kullanıyor. Bu ilk yöntemler ile yönlendiriciye erişim sağlamadıysa saldırganlar, rastgele dosyaları okumasına izin veren kritik directory traversal vulnerability güvenlik açığı olan CVE-2018-14847’den yararlanmaya çalışıyor.Bu güvenlik açığından yararlanan saldırgan, yönlendirici kullanıcı kimlik bilgilerini içeren ‘user.dat’ dosyasını çalabilir. Cihaza erişim sağladıktan sonra, 449 numaralı bağlantı noktasına gönderilen trafiği yeniden yönlendiren bir ağ adresi çevirisi (NAT) kuralı oluşturmak için yerleşik ‘/ip’, ‘/system’ veya ‘/tool’ komutlarını kullanıyorlar.
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[infected device] dst-address=[real C2 address]Bu IP NAT kuralını kullanarak, C2 sunucuları doğrudan tehdit analizine maruz kalmaz, ancak yine de virüslü cihazlar için iletişime izin verir.
Güvenlik yükseltmeleri yıllardır mevcut olmasına rağmen hala güncelleme yapılmamış cihazlar bulunmakta ve MikroTik cihazlarının sahiplerinden defalarca 6.45.6’dan daha yeni RouterOS sürümlerine yükseltmeleri istendi.
Microsoft, MikroTik cihazlarını TrickBot tarafından ele geçirildiğine taramak için kullanabileceği ‘ routeros-scanner ‘ adlı araç yayınladı.
Yayınlanan script, aşağıdaki bilgiler için MikroTik cihazlarını tarayacaktır:
- Get the version of the device and map it to CVEs
- Check for scheduled tasks
- Look for traffic redirection rules
- Look for DNS cache poisoning
- Look for default ports change
- Look for non-default users
- Look for suspicious files
- Look for proxy, socks, and FW rules
Microsoft, MikroTik cihazlarında daha fazla güvenlik sağlamak için aşağıdaki adımların uygulanmasını öneriyor:
- Varsayılan şifreyi güçlü bir şifreyle değiştirin.
- 8291 numaralı bağlantı noktasını harici erişimden engelleyin.
- SSH bağlantı noktasını varsayılandan farklı bir şekilde değiştirin (22).
- Yönlendiricilerin en son ürün yazılımı ve yamalarla güncel olduğundan emin olun.
- Uzaktan erişim için güvenli bir sanal özel ağ (VPN) hizmeti kullanın ve yönlendiriciye uzaktan erişimi kısıtlayın.
Kaynak: bleepingcomputer.com