Siber suçlular, yakın zamanda yamalanmış uzaktan kod yürütme güvenlik açığından yararlanarak yeni bir Mirai Malware varyantı başlattı (CVE-2020-9054) Zyxel ağa bağlı depolama (NAS) cihazlarında.
Güvenlik açığı, 9.8 CVE oranı ile "kritik" olarak işaretlendi ve hata, Mukashi botnet'in farklı varsayılan kimlik bilgileri kombinasyonlarını kullanarak girişleri zorlamasına izin veriyor.
Zyxel NAS 5.21'e kadar ürün yazılımı sürümleri çalıştıran cihazlar, Mirai Malware'in bu yeni varyantı tarafından istismara açıktır.
Güvenlik açığı başlangıçta bir Sıfır gün olarak keşfedildi ve istismar kodu, Emotet kötü amaçlı yazılımlarından yararlanmaya çalışan bir grup hacker tarafından satışa sunuldu.
“Yürütülebilir dosya weblogin.cgi kimlik doğrulama sırasında kullanıcı adı parametresini uygun şekilde temizlemez. Saldırgan tek bir alıntı kullanabilir ' string ve noktalı virgülün kapatılması; komut enjeksiyonunu gerçekleştirmek için keyfi komutları birleştirmek. Dan beri weblogin.cgi hem HTTP GET hem de POST isteklerini kabul ettiğinde, saldırgan kötü niyetli yükü bu HTTP isteklerinden birine gömebilir ve kod yürütme kazanabilir. ”
Araştırmacılar bu güvenlik açığını 12 Mart 2020'de ortaya çıkardılar, saldırgan tmp dizinine bir kabuk komut dosyası indirmeye çalıştığında, indirilen komut dosyasını yürüttüler ve kanıtları savunmasız cihazdan kaldırmaya çalıştılar.
Mukashi, C2 sunucusundan komutu alarak virüslü makinede DDOS saldırısını başlatabilir.
Mukashi Operasyonu
Saldırganlar, Mukashi bot kullanarak hedeflenen ağdaki rastgele ana bilgisayarların 23 numaralı TCP bağlantı noktasını tarayarak girişleri varsayılan kimlik bilgilerini kullanarak zorlar ve C2 Sunucusuna başarılı oturum açma girişimini rapor eder.
Başarılı bir şekilde yürütüldükten sonra, kötü amaçlı yazılım "Cihazınızı başka bulaşmalara karşı koruma" mesajını yazdırır. ve amaçlanan işleme devam etmeden önce tek örneğin çalıştığından emin olmak için 23448 numaralı TCP bağlantı noktasına bağlanır.
Mukashi varsayılan kimlik bilgilerini t0talc0ntr0l4 olarak kullanır! ve [e-posta korumalı] tarama aşamasından önce kodu çözülmüş ağ aygıtlarını ve bu kimlik bilgilerini zorlamak için.
Palo Alto ağlarına göre araştırma ”Mirai ve varyantlarının DDoS saldırı mekaniği (örn. UDP, TCP, UDP bypass ve TCP bypass) zaten analiz edildi derinlemesineve Mukashi'nin DDoS yetenekleri bu varyantlardan farklı değildir. DDoS savunma bypass'ının varlığı, Mukashi'nin dvrhelper varyantından belirli yetenekler içerdiğine dair spekülasyonumuzu doğrular - Mukashi ayrıca DDoS savunma karşıtı özelliklere de sahiptir. “
Mukashi Aşağıdaki C2 komutlarını destekler.
| PING | tarayıcı | .udppplain | .tcp |
| Killallbots | .udp | .udpbypass | .tcpbypass |
| katil | .udprand | .udphex | .http |
Araştırmacılar indirmek için şiddetle tavsiye edildi Ürün yazılımının en son sürümü ve kaba zorlamayı önlemek için karmaşık şifreyi ayarlayın.
Ayrıca Oku: En Tehlikeli IoT Kötü Amaçlı Yazılım Mirai Artık Anonimlik İçin Tor Ağında C&C Sunucusunu Kullanıyor
IOCs
Dosya (Sha256)
8c0c4d8d727bff5e03f6b2aae125d3e3607948d9dff578b18be0add2fff3411c (arm.bot)
5f918c2b5316c52cbb564269b116ce63935691ee6debe06ce1693ad29dbb5740 (arm5.bot)
8fa54788885679e4677296fca4fe4e949ca85783a057750c658543645fb8682f (arm6.bot)
90392af3fdc7af968cc6d054fc1a99c5156de5b1834d6432076c40d548283c22 (arm7.bot)
675f4af00520905e31ff96ecef2d4dc77166481f584da89a39a798ea18ae2144 (mips.bot)
46228151b547c905de9772211ce559592498e0c8894379f14adb1ef6c44f8933 (mpsl.bot)
753914aa3549e52af2627992731ca18e702f652391c161483f532173daeb0bbd (sh4.bot)
ce793ddec5410c5104d0ea23809a40dd222473e3d984a1e531e735aebf46c9dc (x86.bot)
a059e47b4c76b6bbd70ca4db6b454fd9aa19e5a0487c8032fe54fa707b0f926d (zi)
