Geçen yılın ikinci yarısında DYN DDoS saldırısı ile gündeme gelen Mirai zararlısı, yönlendirici, modem, kamera, dvr, nvr gibi bugün IoT genellemesi altında nitelenen cihazları kendi botnetine dahil ediyordu. Bu cihazlardaki baz işletim sistemi olan Linux’un çok eski ve zayıf sürümlerinin getirdiği güvenlik açıkları ve/veya bu cihazların üreticiden geldiği şekilde bırakılmış kullanıcı ismi-şifrelerini kullanan Mirai (Japoncada “Gelecek”) ile 22 Eylül 2016’de Brian Krebs’in bloguna 620 Gbps [1] ve 21 Ekim 2016’da da DYN’ye karşı 1.2 Tbps[2]  boyutuna ulaşan saldırılar yapıldı. Mirai kodu ise kendini Anna Senpai ismiyle tanıtan birisi tarafından hackforums’da 30 Eylül 2016’da yayınlandı. Detayları incelendiğinde ise  Mirai’ın DDoS yetenekleri net bir şekilde görünmekteydi. [3]

Kodun yayınlanması sonrasında bir başka zararlı görünmeye başladı. Rapidity SRG’nin 16 Ekim 2016 tarihli çalışmasında[4] net bir şekilde daha yenilikçi diyebileceğimiz bir zararlı örneği anlatılıyor. Bu zararlı Mirai’ın yayılım yöntemi gibi IoT aygıtlarındaki telnet portları aracılığı ile yayılıyordu. Ancak bulaşmasından sonraki ikinci aşama (stage2) dosyalarını bulmak için Bittorrent DHT ve indirmek içinde Bittorrent uTP kullanıyor. Hajime (Japoncada “başlangıç”) ismi verilen zararlı, bu sayede ikincil aşama kodu kolaylıkla dağıtık şekilde sunulabiliyor. Ayrıca bu kadar esnek bir ikincil aşama kodu sunumuyla beraber de aslında bu yeni zararlı sonraki amaçlar için jenerik bir platform haline geliyor. Örneğin ele geçirilen botlar custom ikincil aşamalar yüklenebilir şekilde kiralanabilir oluyor. Bu çok önemli bir gelişme.

Aynı araştırmacılardan Ioannis Profetis ise yakın zamanlı blog yazısında[5] Hajime’nin güncel sürümünde bazı değişikliklerden bahsediyor. Yüklemeler için wget’e geçiş, ve zararlının bulaştıktan sonra bulaştığı sistemdeki telnet başta olmak üzere bazı portlara erişimi engellediği gibi değişikliklerle beraber Hajime’nin aslında bulaştığı sistemi başka zararlıların bulaşmaması için koruduğu şeklinde yorumlar yer almaya başladı. Hatta sistemleri koruyan bir yaızlım olduğu, bunu yazanların da gri şapkalılar oldukları ile ilgili haberler çıkmaya başladı. [6]

Hajime ile ilgili ben hiç de bu görüşte değilim onu belirtelim. İlgili portları kapatıyor olması Hajime’nin amacının bu olduğu anlamına gelebileceği gibi, kendisinin olduğu mekana başkasını kabul etmek istememesi yani mülkiyet de ifade eder. Ayrıca ikincil aşama dosyanın kolayca değiştirilebiliyor olması da gelecekte bu botnet’in DDoS ve benzeri saldırılar için kullanılabilmesi için de platformu hazırlıyor. Hatta ilk tasarımda Bittorrent altyapısı kullanılması da bu amacı işaret ediyor bence.

Bu saldırıları engellemek için saldırma yaklaşımında Hajime tek değil. Yakın zamanda ortaya çıkarılan brickerbot zararlısı ise IoT aygıtlarının “ele geçirilmemesi için”, onları çalışmaz hale getiriyor. Nasıl çalışmaz hale getirdiği ile ilgili “acımasız” komut satırlarına bakmak isteyebilirsiniz. [7]

Bu arada ilk araştırmada konan ismin güncel sürümde Hajime’yi yazan kişilerce kabul görmesi ve güncel sürümlerde kendilerini bu şekilde ifade etmeleri de gayet ilginç olmuş.

Son kullanıcı olarak okuyorsanız, siz siz olun modem, kamera, dvr gibi cihazların şifrelerini ön tanımlı da bırakmayın. Telnet ve gerekmiyorsa ssh erişimlerini kapatın.

Teknik araştırmacı iseniz aşağıdaki linkler ilginizi çekecektir. Bunlarla beraber Brian Krebs’in Mirai’ı yazan kişinin izini nasıl sürdüğü ile ilgili yazı da ilginizi çekebilir 🙂 [8]

1. https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
2. http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
3. https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
4. https://security.rapiditynetworks.com/publications/2016-10-16/hajime.pdf
5. https://x86.re/blog/hajime-a-follow-up/
6. https://arstechnica.com/security/2017/04/vigilante-botnet-infects-iot-devices-before-blackhats-can-hijack-them/?comments=1
7. https://www.bleepingcomputer.com/news/security/new-malware-intentionally-bricks-iot-devices/
8. https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/