Amatör Saldırganlar Nasıl Bitcoin Maden Ağı Oluşturuyor?

Bu yazıda erişim sağladığı linux sunucuları kullanarak brute force saldırıları ve Bitcoin madenciliği yapan saldırganların kullanmış olduğu yöntemlerin birinden bahsedeceğim.

1 ay önce ilginç bir durumla karşılaşma umuduyla sahte bir e-ticaret sitesi oluşturdum.

Ardından çalıştırıldığında o an cihazda çalışan uygulamaları, prosesleri ve yüklü olan yazılımları bana mail olarak atacak bir C# uygulaması yazdım.

Kullanıcı adı ve parolası “root” olan Ubuntu sunucuma “Password Shower.exe” (bilgileri bana mail olarak atacak olan uygulama) ve şifreli “Bitcoin Wallets.rar” dosyasını gönderdim. Buradaki amacım, saldırganların .exe dosyasını kendi Windows ortamlarına çekmesi ve orada hangi araçları kullandığını öğrenmekti. Ortada bir tuzak olduğu çok açık olsa da ya tutarsa diyerek beklemeye geçtim.

3 gün sonra sunucuya erişim oldu ve “Bitcoin Wallets.rar” dosyasını gördükten sonra saldırganın gözünü para bürümüş olacak ki zararlı .exe dosyasını kendi makinesinde çalıştırdı.

Hemen bana gelen maili incelemeye başladım. O an çalışan uygulamalara baktığımda, benim dışımda çok fazla sunucuya daha bağlı (sadece o an 20 sunucu) olduğunu gördüm. Ayrıca Youtube’ta VPS üzerinde nasıl Bitcoin madenciliği yapılacağına dair video izliyordu.

Aynı gün içerisinde saldırgan, Ubuntu makineme Bitcoin miner yazılımını kurmuştu. Sunucum üzerinde çalışan proseslerin ve proseslerin CPU gücünü hangi oranda kullandığını incelediğimde, CPU’nun neredeyse tüm gücünün kripto para madenciliği için kullanıldığını gördüm.

Maden yazılımının kurulduğu dizine gittim ve “miner.sh” dosyasının içerisinde saldırgana ait Bitcoin adresini buldum.

Blockchain.com sitesinden cüzdan adresini arattığımda henüz bir gelir elde edemediğini gördüm.

https://www.blockchain.com/tr/btc/address/1DcZW2xAaYtcmEsMstbq4fTzMMPihnaHPL

Miner yazılımı kurulmadan önce bant genişliğindeki anormal yükseliş dikkatimi çekti ve bash geçmişine bakıp saldırganın çalıştırdığı komutları inceledim.

Saldırganın çalıştırdığı komutları incelediğimde, “fanelishere.ro” adresinden .zip dosyasını indirdiğini ve zip dosyası içerisindeki “fnlg” dosyasını çalıştırdığını gördüm. Ben de aynı şekilde sanal makine üzerinde dosyayı indirdim ve göz atmaya başladım.

DosyaTipTarama
bannerELFhybrid-analysis
haiducELFhybrid-analysis
psELFhybrid-analysis
fnlgShell script
filtruShell script
cleanlogsShell script
pass.fnlASCII Text

“fnlg” bash scriptinin içerisine baktığımda ilk olarak “cleanlogs” u ve sırasıyla diğer yazılımları çalıştırdığını gördüm.

“cleanlogs” dosyasının içeriğinden anlaşıldığı gibi log dosyalarını yok ediyor.

Sanal makinemde Wireshark’ı  ve zip içerisindeki “fnlg” dosyasını çalıştırdım, trafiği izlemeye başladım fakat herhangi farklı bir davranış gözlemleyemedim. Hybrid-analysis raporları içerisinde gördüm ki dosyalar “CPUID” kontrolü yaparak sanal ortam tespiti yapıyormuş.

İncelemeye devam etmek için DigitalOcean’dan yeni bir sunucu ayağa kaldırdım.“tcpdump” ile tüm trafiği pcap dosyasına yazmaya başlayıp “fnlg” scriptini çalıştırdım.

Script, parametre olarak verdiğim 46 ile başlayan tüm IP adreslerinin 22 portunu taramaya başladı.

Ardından portu açık olan adreslerle ssh bağlantısı kurmayı denedi ve cevap alabildiği IP adreslerine brute-force yaparak giriş yapmaya çalıştı.

Son olarak da SSH ile giriş yapabildiği IP adreslerini ekrana bastı.

Sonuç olarak görüyoruz ki saldırgan, zayıf parolaların gücünü kullanarak ele geçirdiği sunucuları hem Bitcoin madenciliği hem de daha fazla sunucuya sahip olabilmek için kullanabilmekte. Üst düzey teknikler kullanmasa da istediğini alabiliyor.

2 Yorum

  1. Mehmet Ata Günal demiş ki:

    Çok güzel ayrıca çok kişinin istifade edebileceği yazı olmuş,eline yüreğine sağlık.Ayrıca bilgi alanım dışında olmasına rağmen şunu anlayabildim;saldırgan yanlış kapıyı çalmış:)

    8 Aralık 2019
    Yanıtla
  2. Iko demiş ki:

    Mükemmel bir araştırma olmuş!

    9 Aralık 2019
    Yanıtla

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir