btbilgi

Daha önce de WordPress, Joomla, Magneto ve Drupal gibi popüler içerik yönetim sistemlerini (CMS) hedefleyen siber saldırılar görmüştük. Bu sistemlerin kendilerindeki veya eklentilerindeki güvenlik açıklarından yararlanan kötü niyetli kişiler zararlı operasyonlar gerçekleştirebiliyorlar. Bunların sonuncusu, CMS’lere kriptomadencilik, spam ve tahrifat odaklı saldırılar yapan KashmirBlack botneti oldu.

Güvenlik firması Imperva’nın ayrıntılı şekilde raporladığı KashmirBlack, popüler CMS platformlarına bulaşıyor. Hedeflenen sunuculardaki bilinen düzinelerce güvenlik açığından faydalanarak günde milyonlarca saldırı gerçekleştirebildiği aktarılmış. Imperva’dan verilen bilgilere göre, bunun sebebi CMS platformlarındaki web sitelerinin genellikle güncel tutulmaması ve güvenlik açıklarının kötüye kullanılmasının epey kolay olması.

Araştırmacılar bir yıldır aktif olduğunu saptadıkları botnet ile ilgili bilgi toplamak için virüslü bir sunucuyu taklit etmişler. Hedeflenen CMS platformlarından birinin üzerinde çalışan tuzak bir sunucu oluşturarak buna botnet bulaşmasına izin verilmiş. Böylece araştırmacılar tuzak sunucuya bulaşan botnet’e iletilen komutları ve kodları takip edebilmişler.

Dark Reading’de bu testlerle ilgili haberde, güvenliği ihlal edilmiş ve botnet yazılımı içeren bir sitenin her gün ortalama 240 sunucuya veya 3 bin 500’e yakın kurban siteye saldırabildiği belirtiliyor. Araştırmacılar birkaç ay boyunca zararlı yazılım yaymaya çalışan 285 sitenin aktivitelerini izlemiş. Yüzde 1’lik bir varsayılan başarı oranıyla bile, son 11 ayda yaklaşık 230 bin web sitesinin tehlikeye atıldığını tahmin ediyorlar. Güvenlik uzmanlarının kendi sözleri ile botnet şöyle anlatılıyor: “Araştırmamız sırasında botnet’in temel yeteneklere sahip orta hacimli bir zararlıdan, kalıcı hale gelecek devasa bir altyapıya evrimleşmesine tanık olduk.”

Verilen bilgiler arasında botnet’in son 11 ayda hızla değiştiği de var. Mesela 2020’nin Eylül ayında botnet operatörlerinin, operasyonlarının kayıtlarını depolamak ve komut çekmek için Dropbox API’yi kullanarak komut/kontrol özelliğini değiştirdikleri farkedilmiş. Firma bu türden botnetlerin faaliyetlerinin dinamik olduğunu özellikle hatırlatıyor. Firmaların bu tehlikeyi engellemek için bir kez bir güvenlik kuralı koymasının veya bir ayarı değiştirmesinin uzun vadede işe yaramayacağı ifade edilmekte.

KashmirBlack yasal bulut hizmetlerini ve GitHub ve Pastebin platformlarını da devreye sokarak iletişim trafiğinin tespit edilmesini zorlaştırmakta. Böylece komut/kontrol sunucuları ile mesajlaşmasını yasal trafik içinde kamufle edebilmekte. Bu platformlarda sadece dosya depolandığı için, siber güvenlik yazılımları bu iletişimi normal internet trafiğinden ayırt edemiyor denilmiş.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.