Güvenlik

Windows ve Linux Sunucuları Hedef Alan RubyMiner Malware

Windows ve Linux sunucuları hedef alan yeni bir zararlı ile karşı karşıyayız. Zararlılar bitmez J bizlerde zararlı ve zararlılar mücadele için neler yapabiliriz noktasında kendi korunma ve tespit yöntemlerimizi olgunlaştırmak zorundayız. 

Yaklaşık 1 hafta evvel ortaya çıkmış olan “RubyMiner” Malware zararlı sınıfında exploit davranışlarını sergilemektedir. Bu exploit daha evvel kendine bir çalışma zemini bulmuş ve RCE tabanlı olarak kendisine uzak sistemlere erişim hakkı tanışmıştır.

Yeni nesil atak tipleri sınıfında kendisine “Ruby” yazılım dili platformunda kendine yer bulmuştur ve yeniden Windows ve Linux tabanlı işletim sistemlerini hedefleyen “HTTP” protokolü ile karşı sistemlere nüfus etmiştir.

Bitcoin ve türevi dijital madencilik temelleri ile kendine hayat bulan yeni nesil borsa ve yatırım faaliyetleri üzerinden faydalanarak işletim sistemlerinde “Browser” tarayıcı tabanlı olarak veri veya madencilik kazılarını son kullanıcılarının farkında olmadan gerçekleştiriyor ve gerçekleştirmeye devam edecektir.

CVE 2013-0156 kodlu olarak 2013 yılında bu zafiyet tanımlanmış ve günümüzde yeniden karşımıza çıkmaktadır.

Zafiyet kaynağı ve IP adresi detaylarına kadar aşağıdaki tablodan bilgi alabilirsiniz.

 

clip_image002[6]

 

HTTP protokol tabanlı olarak gerçekleştirilen bu atak, HTTP PoST request mesajı ile birlikte, HTTP protokol paketi içerisine aşağıdaki zararlı içeriğe yönlendirilen “payload” u yüklemektedir.

“Payload” içeriğini ve çıktısını görüntüleyebilirsiniz.

clip_image004[6]

 

Basit bir “bash script” sayesinde hedef host makineye her dakika ve her saat başında “robot.txt” dosyası sayesinde içerik sağlayıcı olarak çalışmaktadır.

clip_image006[6]

 

Genel çalışma yapısı bu şekilde işleyen bu zararlının asıl hedef saldırı “coinminer” olarak hedeften kaynak, Kaynak’tan hedef yönüne “mining” madencilik faaliyetlerini aşağıdaki IP adresi ve kaynak üzerinden saldırıyı gerçekleştirir.

clip_image008[6] 

Bu tespitlerin ardından,” Browser” ve İşletim sistemlerini göz önünde bulundurarak, ilgili IP adresi üzerinden protokol tabanlı olarak firewall ilkesi yazarak çözebilirsiniz veya “CVE 2013-0156” için ilgili güvenlik yamasından faydalanabilirsiniz.

Hem eski, hemde yeni nesil olan bu tehdit için “mining” saldırılarını engellemek veya kontrol altına almak için gerekli çalışmaların yapılmasında fayda var.

 

Keyifli okumalar ve Bol çözümlü günler.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu