HeadCrab Kötü Amaçlı Yazılımı
HeadCrab adlı yeni, oldukça gizli bir kötü amaçlı yazılım, çevrimiçi Redis sunucularına bulaşıyor ve Monero kripto para birimi madenciliği yapmak için bir botnet oluşturuyor. HeadCrabe kötü amaçlı yazılımı, daha fazla hedef aramak için kullandığı 1.200'den fazla Redis sunucusunu ele geçirmeyi başardı. HeadCrab'ın arkasındaki sofistike tehdit aktörleri, son derece gelişmiş ve geleneksel kötü amaçlı yazılımdan koruma çözümleri veya aracısız sistemler tarafından kolayca tespit edilemeyen özel yapım kötü amaçlı yazılımlar geliştirdi. HeadCrab kötü amaçlı yazılımı ve tehdit edici operasyonlarla ilgili ayrıntılar, infosec araştırmacıları tarafından hazırlanan bir raporda yayınlandı.
HeadCrab Kötü Amaçlı Yazılımı Tarafından Yararlanan Enfeksiyon Vektörü
Bu botnet'in arkasındaki saldırganlar, bir kuruluşun ağında dahili kullanım için tasarlanmış ve varsayılan olarak kimlik doğrulaması olmayan Redis sunucularındaki bir güvenlik açığından yararlanır. Yöneticiler, yanlışlıkla veya kasıtlı olarak sunucularının güvenliğini düzgün bir şekilde sağlayamaz ve İnternet'ten erişilebilir hale getiremezse, saldırganlar tehdit edici araçlar veya kötü amaçlı yazılım kullanarak kontrolü kolayca ele geçirebilir. Saldırganlar, bu kimliği doğrulanmamış sunuculara erişim sağladıktan sonra, sunucuyu kontrolleri altındaki bir ana sunucuyla senkronize etmek için bir "SLAVEOF" komutu yayınlayarak HeadCrab kötü amaçlı yazılımını yeni ele geçirilen sisteme dağıtmalarına olanak tanır.
HeadCrab Kötü Amaçlı Yazılımının Zararlı Yetenekleri
HeadCrab yüklendikten ve etkinleştirildikten sonra, saldırganlara hedeflenen sunucuyu ele geçirmek ve onu kripto madenciliği botnet'lerine dahil etmek için gereken tüm yetenekleri verir. Kötü amaçlı yazılımdan koruma taramalarından kaçınmak için güvenliği ihlal edilmiş cihazların belleğinde çalışır. HeadCrab kötü amaçlı yazılımı, tüm günlükleri ortadan kaldırır ve tespit edilmekten kaçmak için yalnızca operatörleri tarafından kontrol edilen diğer sunucularla iletişim kurar.
Saldırganlar, tespit edilmekten kaçınmak ve güvenlik çözümleri tarafından engellenme riskini en aza indirmek için başta diğer kirlenmiş sunucuları olmak üzere gerçek IP adresleriyle iletişim kurar. Ek olarak, HeadCrab Kötü Amaçlı Yazılımı çoğunlukla Redis işlemlerini temel alır. Bu süreçlerin tehdit edici veya şüpheli olarak değerlendirilmesi muhtemel değildir. Yükler, 'memfd', yalnızca bellek dosyaları aracılığıyla yüklenirken, çekirdek modülleri disk yazmalarını önlemenin bir yolu olarak doğrudan bellekten yüklenir.
HeadCrab Kötü Amaçlı Yazılım kampanyasıyla ilişkili Monero kripto cüzdan adresinin analizi, saldırganların çalışan başına yaklaşık yıllık 4.500 ABD doları kar elde ettiğini ortaya çıkardı. Tahminler doğruysa, bu operasyonların diğer türlerinde gözlemlenen işçi başına tipik 200 ABD Doları'nın üzerinde ciddi bir artış gösteriyor.
