Bilgisayar korsanları, saldırılarını gerçekleştirmek için bilgisayarlardaki çeşitli güvenlik açıklarından yararlanıyor. Hem Windows hem de Linux sistemlerinde kripto para madenciliği yapmaya çalışan yeni botnet de bunu amaçlıyor. Hedefine ulaşmak için güvenlik açıklarını tarıyor ve harekete geçiyor. Sysrv-hello adlı bu botnet, Alibaba Cloud tarafından keşfedildi.
Sysrv-hello, Windows veya Linux’taki güvenlik açıklarını arayan bir botnet
Gizli kripto para madenciliği, bilgisayarımızı en uç noktalara taşıyabileceği ve yalnızca performansı değil donanım bileşenlerini de etkileyebileceği için farkında olunması gereken önemli bir sorun. Gizli madencilik, dijital para birimlerinin yükselmesi nedeniyle son yıllarda önemli ölçüde artan bir tehdit türü.
Günün sonunda, bilgisayar korsanları kar etmenin yollarını arıyor. Yeni saldırı teknikleri yaratıyor, yararlanabilecekleri hataları arıyor ve nihayetinde kurbanların bilgisayarlarına bulaşıyorlar. Sysrv-hello ile hem Windows hem de Linux’ta kripto para madenciliği yapmak için bir botnet geliştirildiği ortaya çıktı. Spesifik olarak, bu botnet en popüler kripto para birimlerinden biri olan Monero madenciliği yapıyor.
Bu botnet ilk olarak Şubat ayında keşfedildi, ancak Aralık 2020’den beri aktif durumda. Kötü amaçlı yazılımları diğer cihazlara otomatik olarak gizlice aktarabilen tek bir ikili dosya kullanabilmek için güncellendi.
Sysrv-hello nasıl çalışıyor? Temelde yaptığı şey, savunmasız bilgisayarları aramak için interneti taramak. Bu şekilde, bu sistemlere bulaşabilir ve botnet ordusunu tanıtabilir, Monero madenciliğine başlayabilir.
Güvenlik araştırmacılarına göre korsanlar PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic ve Apache Struts’ta uzaktan kod çalıştırmada buldukları güvenlik açıklarına güveniyor.
Sunucuyu başarıyla hackledikten sonra, bu kötü amaçlı yazılımın virüslü sunuculardan topladığı özel SSH anahtarlarını kullanarak kaba kuvvet saldırıları yoluyla ağa yayılabileceği unutulmamalı.
Aşağıdakiler gibi başlıca altı edilmiş güvenlik açığı söz konusu:
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (CVE yok)
- XXL-JOB Unauth RCE (CVE yok)
Kendimizi gizli kripto para madenciliğinden nasıl koruyabiliriz?
Bu yeni botnet’in, saldırılarını gerçekleştirmek ve kripto para birimleri çıkarmak için Windows veya Linux sistemlerine nasıl bulaştığını gördük. Ancak, hedeflerine ulaşmak için bilgisayarlarımızdan yararlanabilecek benzer tehditlerle karşılaşabiliriz. Botnet saldırılarından kaçınmak, aklımızda tutmamız gereken bir şey.
Bu soruna kurban gitmekten kaçınmak için en önemli şey, güncel bir sisteme sahip olmak. Bu nedenle, ana tavsiye, bilgisayarlarınızı her zaman güncel tutmanız olacak. Hangi işletim sistemini kullandığımız önemli değil.
Güvenlik programlarına sahip olmak da önemli. İyi bir antivirüs, bizi bir şekilde tehlikeye atabilecek birçok kötü amaçlı yazılım türünü önlemeye yardımcı olabilir. Hangi işletim sistemini kullanıyor olursak olalım bunu uygulamak çok önemli.
Ancak bir başka temel konu da sağduyu. Bilgisayar korsanları tarafından istismar edilebilecek ve bilgisayarlarımızı riske atabilecek hatalar yapmaktan kaçınmalıyız. Örneğin, yasal olup olmadıklarını doğrulamadan üçüncü taraf sitelerden program indirmek, tehlikeli olabilecek ekleri indirmek veya güvenli olmayan bir ağda oturum açmak bir hata olur.