Yazılar

Enfekte olmuş FTP sunucuları hızla artıyor

enfekte-olmus-ftp-sunuculari-hizla-artiyorFTP sunucuları siber suçluların exploit ettikten sonra kolayca zararlı yazılım veya servis yaydıkları mecraların başında geliyor. Son dönemde enfekte olan FTP server sayısının artması ise ister istemez göze çarpıyor. Şu an yaşanan artışla birlikte sayısı 10 bine varan sayıda FTP sunucusunun enfekte şekilde zararlı uygulama, servis dağıtarak çalıştığı söylenebilir.

Bu enfekte olan FTP sunucuları listesinde UNICEF, The New York Times, PC World gibi yüksek profilli siteler de bulunuyor. FTP sunucularına yüklenen zararlı yazılımların dışında web sunucusuna ulaşmaya çalışılarak PHP dosyaları veya indirilerek çalıştırıldığında zararlı sitelere yönlendiren HTML dosyaları da yerleştiriliyor.

Bu bağlamda saldırı vektörünü iki ayrı gruba ayırabiliriz;

1. Hacker zararlı bir PHP scriptini FTP sunucusuna yerleştirir, eğer FTP sunucusundaki dizin web sunucusuna bağlıysa shell elde ederek diğer hedeflere bulaşır. Amaç dahilinde web sitelerine yönlendirme yapar. Bilgi elde eder.

2. Hacker bir HTML dosyasını FTP sunucusuna yükler, kurban dosyayı çalıştırmak için tıkladığında zararlı içerik bulunan bir web sitesine yönlendirilir. Saldırgan bu siteden ister zararlı yazılım bulaştırır, isterse sosyal mühendislik yoluyla ekstra bilgi elde eder. Genellikle yönlendirilen siteler ramsomware adı verilen sahte uygulamalar, virusler, ilaç satış siteleri, ponografik siteler olabiliyor.

Kurumların FTP sunucularını kontrol altında tutması, özellikle anlık dosya transferi ve dağıtım için daha güvenli alternatifleri gözden geçirmesi gerekli.