Smominru Botnet Geçen Ay 90.000'den Fazla Bilgisayarı Hackledi

Güvensiz internetle ilgili cihazlar, yıllardır farklı spam saldırıları başta olmak üzere farklı türlerdeki siber suçlarda yardımcı olmuştur. Ayrıca botnet , DDoS ve spam içerir ve en popüler programın oluşturulması için aşağıdaki şifrelemeyi içerir.

Bir kripto para birimi madenciliği ve güvenilir bilgiler çalıştıran Smominru botnet yazılımı, şu anda 90.000'den fazla makineye bulaşan bilgisayar virüslerinden biri haline geldi.

Peki Nedir Bu Smominru?

Smominru, 2017'ye kadar süren bir botnet yazılımıdır ve Hexmen ve Mykings dahil diğer isimler altında kayıtlıdır. Kimlik bilgisi hırsızlığı komut dosyaları, arka kapılar, truva atları ve bir şifreleme para birimi madenciliği dahil olmak üzere sunulan çok sayıda yük ile bilinmektedir.

Bu botnet, araştırmacıların incelemesi sonucunda; Öncelikle EternalBlue açığından yararlanarak güvenlik açığından yararlanıyor ve ayrıca MS-SQL, RDP ve Telnet servislerine kaba kuvvet saldırıları gerçekleştiriyor. Araştırmacılar, günde yaklaşık 4.700 makinenin olduğunu ve en çok etkilenen ülkelerin ABD, Rusya, Çin, Brezilya ve Tayvan olduğunu belirtti.

Guardicore araştırmacıları tarafından geliştirilen Çarşamba günü yayınlanan bir rapora (https://www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit) göre;
“ Yalanmamış sistemlerin kampanyanın dünya çapında sayısız makineye bulaşmasına ve iç ağların içinde proliçene izin veriyor ” dendi. “ Bu sayede, ürünlerin mevcut yazılım güncellemeleriyle uyumlu olması çok önemlidir. Ancak zafiyetlerin güncellenmesi hiçbir zaman belirtilmediği kadar basit değildir. Bu nedenle, veri merkezi veya kuruluşta ek güvenlik önlemleri almak çok önemlidir. Muhtemel kötü amaçlı internet kesintisinin ve internete maruz kalma sırasında kalan sunucuların sınırlamasının yanı, bir mikro gölgeleme eksikliği de güçlü bir güvenlik durmasını korumak için kritik öneme sahiptir. ”

Tehdit altında makinelerin birçoğu, küçük sunucu kategorisine dönüş ve CPU'nun ne şekilde kaydedildiği. Ancak bunların 200'ünün sekizden fazla kısmı mevcuttu ve makinede 32 CPU vardı. Bu makinelerin yarısından fazlası ( %55 ) Windows Server 2008 kullanıyor ve yaklaşık üçte biri (%30) Windows 7  kullanıyordu. Burada işler biraz daha ilginçleşiyor, çünkü Windows'un bu hayatta kalabilmesi için Microsoft tarafından destekleniyor ve güvenlik bilgileri alınıyor.

Araştırmacılar, “ Ne yazık ki, bu, birçok şirketin pahalı donanımları için para harcadığı halde, çalışan işletim sistemlerini yamalamak gibi temel güvenlik önlemleri almadıklarını gösteriyor. dedi.

Smominru Nasıl Çalışıyor?

Smominru hedeflenen sistemlere ilk kez erişim erişiminde, bir trojan modülü ve bir kripto para birimi madencisi kurar. Kurbanların bilgisayarlarının CPU gücü Monero'ya getirebilir ve işletmecisinin zararlı yazılımlarına sahip bir kripto para bütçesi na korunabilir için ağ içinde kalabilir. Ardından, yeni kullanıcılar ve zamanlanmış cihazlar gibi çeşitli işlemler için çoklu arka kapılar oluşturulur. Süreçleri öldürür, çalıştırılabilir dosyalar siler, diğer oyuncuların arka kapı kimliklerini bırakır ve yine diğer oyunculara ait zamanlanmış işler ve işlerin bozulması sistemdeki diğer kötü ni yetli oyuncular ortadan kalkar. Smominru, bulaştığı sistemlere diğer zararlı aktörlerin bulaşmasını önlemek için çeşitli TCP bağlantı noktalarını engeller.

Korunma Yöntemi

Botnet'in solucan kabiliyetleri nedeniyle, Smominru ile enfekte olan herhangi bir makine, kurumsal bir ağ için ciddi bir tehdit tehdidi ve bu sadece şifrelemeyle ilgili değildir. Bu tehdit, yeni yönetim araçları, zamanlanmış bilgisayarlar, Windows Yönetim Araçları ( WMI ) bilgileri, başlangıç ​​hızları ve ana kayıt kaydı ( MBR ) kök seti de dahil olmak üzere, korumak için çok sayıda veri yükü dağıtımı yapar ve etkilenen sistemlerde arka odalarda oluşur. Bu nedenle Smominru'dan korunmak oldukça önemli.

Smominru solucanlarının varlıklarını tespit etmek için Powershell scriptleri (https://github.com/guardicore/labs_campaigns/tree/master/Smominru) mevcuttur. Ayrıca Guardiacore blogunda mevcut olan IOC  listesini de kontrol edebilirsiniz. Araştırmacılar, zayıf şifrelerin ve EternalBlue güvenlik açıklarının Smominru botnet tarafından dağıtılmak için kullanıldıklarını söylüyor. Bu nedenle, makinelerinizin mevcut en son güvenlik korumalarıyla önemlidir.