PumaBot Botnet
PumaBot olarak adlandırılan yeni keşfedilen bir Linux botnet, gömülü IoT cihazlarında tahribat yaratıyor. Go'da yazılan bu kötü amaçlı yazılım, SSH kimlik bilgilerini kırmak için kaba kuvvet yöntemlerini kullanıyor ve erişim sağlandığında kötü amaçlı yükler dağıtıyor. İnterneti ayrım gözetmeksizin tarayan geleneksel botnetlerin aksine, PumaBot doğrudan Komuta ve Kontrol (C2) sunucusundan alınan belirli IP adreslerine odaklanıyor.
İçindekiler
Hassas Hedefleme: IoT Sömürüsünde Taktiksel Bir Değişim
PumaBot, C2 sunucusundan (ssh.ddos-cc.org) düzenlenmiş IP hedef listelerini çekerek, oldukça odaklanmış saldırılar gerçekleştirmesine olanak tanıyarak kendini farklılaştırır. Bu yaklaşım, geniş internet taramalarından kaçınır ve belirli kuruluşları veya cihazları tehlikeye atma niyetini gösterir. Hatta cihazları bir 'Pumatronix' dizisi için inceler; bu, bu satıcı tarafından üretilen gözetim ve trafik kamera sistemlerinin hedef alınmasına işaret edebilecek bir ipucudur.
Keşiften Köke: PumaBot'un Saldırı Yaşam Döngüsü
Bir cihaz seçildikten sonra, PumaBot 22 numaralı portta kaba kuvvet SSH oturum açma girişimleri gerçekleştirir. Başarılı olursa, sistem bilgilerini toplamak ve cihazın bir honeypot olmadığını doğrulamak için 'uname -a' çalıştırır. Bu doğrulamadan sonra, botnet:
- Ana ikili dosyasını (jierui) /lib/redis'e yazar
- Kalıcı bir systemd hizmeti (redis.service) yükler
- Sistem temizliklerinden sonra bile uzun vadeli erişim için kendi SSH anahtarını yetkili_anahtarlara enjekte eder
Enfeksiyonun Ötesinde: Komut Yürütme ve Veri Hırsızlığı
Erişim güvence altına alındığında PumaBot, aşağıdakiler de dahil olmak üzere daha fazla komut yürütebilir:
- Yeni yüklerin dağıtımı
- Hassas verilerin dışarı sızdırılması
- Ağlar içinde yanal hareketi kolaylaştırmak
- Tespit edilen yükler şunlardır:
- Kendini güncelleyen komut dosyaları
- pam_unix.so'nun yerini alan PAM rootkit'leri
- Dosya izleyicisi olarak hareket eden bir daemon ikili dosyası (1 olarak adlandırılır)
Kötü amaçlı PAM modülü SSH kimlik bilgilerini kaydeder ve bunları con.txt dosyasında depolar. 1 ikili dosyası bu dosyayı izler ve bulduğunda, onu enfekte sistemden silmeden önce C2 sunucusuna sızdırır — izlerini örtmek için hesaplanmış bir hareket.
Bilinmeyen Kapsam, Yüksek Riskler: PumaBot'un Sessiz Genişlemesi
Araştırmacılar henüz PumaBot'un kampanyasının ölçeğini veya başarı oranını belirlemedi. Hedef IP listelerinin kapsamı belirsizliğini koruyor. Ancak botnet'in DDoS saldırıları gibi düşük seviyeli faaliyetlerden ziyade daha derin ağ sızmalarına odaklanması, kurumsal ve kritik altyapı için önemli bir tehdit oluşturduğunu gösteriyor.
Önde Kalın: PumaBot ve Benzerlerine Karşı Savunma
PumaBot veya benzeri tehditler nedeniyle tehlikeye girme riskini azaltmak için:
- Tüm IoT cihazlarındaki aygıt yazılımını güncelleyin
- Varsayılan kimlik bilgilerini değiştir
- Güvenlik duvarlarını devreye alın ve SSH erişimini kısıtlayın
- Segmentli ağlarda IoT cihazlarını izole edin
Botnet saldırganlarını uzak tutmak ve kurumsal ağları daha derin ihlallerden korumak için proaktif güvenlik uygulamaları şarttır.
