Yazılar

Mayhem sadece Linux, BSD türevi sistemlere bulaşıyor

mayhem-sadece-linux-bsd-turevi-sistemlere-bulasiyorUNIX türevi sistemleri hedef alan yeni zararlı yazılım Mayhem kısıtlı bir kullanıcı hakkına sahip sistemlere bile bulaşabiliyor. Özellikle Avustralya’da yayılan zararlı yazılım her geçen gün aktivitesini çoğaltıyor.

Mayhem aslında bu yılın Nisan ayında keşfedilmişti. Özellikle root erişimi gerektirmemesi ve Linux türevi, FreeBSD sistemleri hedef alması onu farklı kılıyordu. Sistemlerin enfekte olması bir PHP scripti yardımıyla sağlanıyor. Komuta kontrol merkeziyle bu script iletişim kuruyor. Zararlı yazılımın işlevi ise hangi eklentilerin seçildiğine bağlı. Botmaster istediği fonksiyonları Mayhem’e yükleyebiliyor. Gizli dosya şeklinde farkedilmemeyi başarabiliyor.

Mayhem’in eklentileri arasında brute force yoluyla şifre kırmaya çalışan veya o anda ziyaretçiler web sitenizi gezerken belli başlı bilgileri tarayarak ileten çeşitli modülleri var. Aslında bu brute force yeteneği daha önce gerçekleştirilen Fort Disco saldırısının devamı gibi duruyor. Fort Disco vakasında 6 komuta kontrol sunucusu yardımıyla 25.000 enfekte olmuş Windows sistem çalışıyordu. Bu operasyona dair yazıya TerraMedusa Blog arşivinden ulaşabilirsiniz.

Şimdilik Mayhem’in bulaştığı 1400’ün üzerinde sistem tespit edildi. Bunlar ağırlıklı olarak ABD, Rusya, Almanya, Kanada, Avustraya, Yeni Zelanda’da bulunuyor. UNIX türevi sistemlerin kurulup unutulduğu bilinen bir gerçek. Mayhem bu şartlarda bakıldığında bulaştığı sistem üzerinden diğer sistemlere sızmaya çalışarak çok kısa sürede ciddi sayıda sistemi enfekte edebilir. Özellikle Türkiye’de orta ölçekli firmalar ve servis sağlayıcılar Mayhem gibi zararlı yazılımların yayılması için uygun bir zemin oluşturuyorlar.

Fort Disco ile WordPress ve Joomla hedefte

fort-disco-wordpress-joomla-botnet-windowsFort Disco adındaki botnet ağı 6000’den fazla içerik yönetim sistemine sahip Joomla, WordPress, Datalife Engine çalıştıran web sitesine bulaştı ve bu sayı hızla artıyor.

Fort Disco botnet aşağı yukarı bulaştığı 25.000 Windows sistemden oluşuyor ve bu sayı aktif olarak artıyor. Bu 25.000 enfekte olmuş zombie sistemi yöneten ise 6 komuta kontrol sunucusu. Botnet, sitelere brute force yöntemi ile şifre deneyerek saldırıyor. Erişim sağladığı takdirde ise sisteme FilesMan PHP backdoor yükleyerek uzaktan kurbanın web sitesini kontrol ediyor.

Yüklenen arka kapı sayesinde komuta kontrol sunucuları tek komutla tüm sistemleri yönetebiliyor. İstenilen zararlı yazılımları ek olarak yükleyebiliyor. Fort Disco botnetinin sahip olduğu veritabanında kullanıcılar ve sistem yöneticileri tarafından sıkça kullanılan 123456 vb. basit şifreler yer alıyor. Örneğin “123456” şifresi tam 588 web sitesinde işe yaramış. Şifre olarak kullanılan “admin” ise 893 sisteme girişi sağlamış.

Bu zararlı yazılımda da kural bozulmamış. Eğer sistemde Rusya bölgesinden bir ayar veya dil seti yüklenmişse ve Rus ip adresine sahip bir siteye saldırılacaksa Fort Disco botneti bunu anlayıp saldırıyı durduruyor.