Ekim 2016’da Mirai Botnet ile bir saldiri yapilmis ve tüm dünyada büyük yanki uyandirmisti. Burada hedef internete baglantisi olan cihazlardi, saldiri gerçekten basarili da oldu. (Nesnelerin Interneti ile ilgili detayli bilgi için, Nesnelerin Interneti (IoT) Nedir? konusuna bakilabilir.) Mirai Botnet’in kaynak kodlarinin bir forum sitesi araciligi ile herkesin görebilecegi sekilde dagitilmasi nedeniyle IoT botnet saldirilarinda herhangi bir düsüs beklenemesi mümkün görünmüyor. Bunu örneklendirecek olursak; Zeus Tronajinin kaynak kodlarinin dagitildigi 2012 yilinda trojanin onlarca çesidi türetildi ve küçük çapli bir krize neden oldu. Mirai’nin kaynak kodlarinin da yakin bir zamanda dagitilmis oldugunu göz önünde bulundurursak benzer tehlikelerin bizi bekledigini söyleyebiliriz.

Bu konuda, Mirai’nin nasil çalistigini, sahiplerinin hangi amaçla çalistiklarini ve daha da önemlisi gelecekte botnet’in bir parçasi olmamak için neler yapilmasi gerektigini anlatamaya çalisacagiz.

Mirai Nasil Çalisir?

Paylasilan kaynak kodlarina bakildiginda Mirai’nin su bilesenlerden olustugunu görüyoruz:
* Botnet agina katilan tüm IoT cihazlarinin yer aldigi bir MySQL veritabanini içeren bir komuta kontrol merkezi (C&C). Burasi komutlari ara komut dagitim sunucularina gönderir.
* Her bot operasyonunun sonuçlarini toplayan ve bunlari savunmasiz IoT cihazlara indiren bilesene gönderen (Dagitici) bir Tarama Alicisi bileseni.
* Botun binary dosyalarini cihaza ileten bir downloader bileseni (Wget ve tftp yardimci programlarini kullanir; ancak sistemde mevcut degillerse, kendi özel downloaderini kullanir).
* Cihaza bulastiktan sonra çalisan bir bot komuta kontrol merkezin ile baglanti kurar, savunmasiz IoT cihazlar için bir IP araligi taramasi yapar (SYN taramasi) ve sonradan cihaza zararli kod gönderilmesi için tarama sonuçlarini Tarama Alicisi bilesenine gönderir.

Mirai botnetin önemli özelliklerinden biri; bir cihaza baglanmaya çalisirken botun giris ve sifre listesi kullanmasidir. Mirai ilk yazildiginda, farkli cihazlara baglanmak için kullanilan kullanici adi ve parola kombinasyonlari küçük bir listeden olusuyordu. Ancak bu kullanici adi - parola kombinasyonlarinin ilk hali ile kalmadigi, büyük ölçüde gelistigi görülüyor. Bu da demek oluyor ki Mirai’nin farkli modifikasyonlari simdiden gelistirilmis bile.



Resimde Orijinal Mirai’nin savunmasiz IoT cihazlarini aramada kullandigi kullanici adi ve parolalarin listesi görülebilir.
Botnetin Faaliyet Analizi

Mirai botnet’in mevcut faaliyetini test etmek için yapmaniz gereken tek sey, internette açik bir telnet portuna sahip bir sunucu açmak ve botlar tarafindan yapilan baglanti girisimlerini analiz etmektir. Bunun için bir test yapildi; deneme sunucusu çevrimiçi hale getirildikten sonraki üç dakika içinde telnet baglanti noktasina birkaç farkli ana bilgisayara baglanmaya yönelik ilk denemeleri tespit edildi.

Su iki gösterge, bu baglantilarin orijinal Mirai botlariyla veya Mirai’nin farkli modifikasyonlariyla (yani virüslü cihazlarla) yapildigini gösterir:
1- Baglanti kurma girisimlerinde botlar tarafindan kullanilan hesaplarin (kullanici adi - parola) orijinal botnet’in brute force listesinde oldugu görülmüstür.
2- Baglanti kaynaklarini incelendiginde, tarama yapan virüslü bilgisayarlarin çogu durumda IoT cihazlar (farkli üreticilerin kameralari ve router) oldugunu ortaya koymustur.

Resimde virüs bulasmis Mirai is istasyonlarinin varsayilan sifreleri kullanarak IoT cihazlari bulma girisiminde bulunmasi gösterilmektedir.

Mirai botlari tarafindan en çok kullanilan kullanici adi - parola çiftlerinin bir listesi:


“root:root” veya “admin:admin” gibi basit kombinasyonlari degistirmezseniz, kolay lokmalardan biri olursunuz. "root: xc3511" ve "root: vizxv" çiftleri Çinli üreticilerin ürettigi IP kameralar için varsayilan hesaplardir.


Botnet’in bir parçasi olan bir IP kameralari yönetmek için kullanilan admin paneli.

3 Aralik 2016’da Mirai botlarinin Kaspersky sunucularina baglanmak için 8.689 girisimde bulundugu, 13 Aralik 2016’da bu sayinin 5.553’e düstügü tespit edildi. Bu durum botnetin güç kaybettiginin göstergesi midir? Mirai’nin yeni cihazlara bulasma oraninin azaldiginin bir göstergesi olabilir, kesin bir yargiya varmak için henüz çok erken.

Mirai Botnet Aginin Bir Parçasi Olmamak Için Ne Yapabiliriz?


Cihazlarinizin Mirai botnet agina dahil olmasini engellemek için asagidaki önlemleri almaniz tavsiye ediliyor.
1- Cihazlarinizdaki varsayilan hesap parolalarini degistirin. Hesap sifreleri en az 8 karakter uzunlugunda olmali, rakam, büyük harfler ve özel karakterler içermelidir.
2- Her cihaz için en güncel yazilimi kullanin.
3- cihazlarinizdaki isletim sisteminde bulunan tüm potansiyel giris noktalarina internet üzerinden erisilmesini engellemek iyi bir fikir olabilir

Kaynak