Stealthworker Zararlı Yazılımı Nedir?

Son birkaç yılda ortaya çıkan Stealthworker kötü amaçlı yazılımı son günlerde karşımıza daha sık çıkmaya başladı. Peki nedir bu Stealthworker? Stealthworker kötü amaçlı yazılımı, GoLang tabanlı, hem Windows hem de Linux makinelerine bulaşabilen, saldırganlar tarafından gönderilen hedeflere kaba kuvvet saldırıları (brute-force) gerçekleştirebilen bir yazılımdır. Kişisel bilgi ve ödeme ayrıntılarını çalmaya yönelik kullanılan bu yazılım, sisteme girdikten sonra sistemin her noktasına erişim imkanı sağlamaktadır.

Stealthworker zararlı yazılımı Backup, Bitrix, Cpanel, Drupal, FTP, Joomla, Magento, Mysql, Opencart, Postgres, SSH, WHM, WordPress gibi en yaygın platform ve web hizmetlerini hedef almaktadır. Yazılım sisteme girdiğinde, kurbanın bilgisayarını bir botnet zombisine dönüştürüldüğünü, Komut-Kontrol (c2) sunucusuna bağlandığını ve hazır olduğunu bildirir.

Hedef Yerleri
BackupHtpasswdPMA (PhpMyadmin)
BitrixJoomlaPostgres
CpanelMagentoSSH
Drupal MysqlWHM
FTPOpencartWordPress

Stealtworker kötü amaçlı yazılımının gelişmeye devam ettiği ve yeni sürümlerinin ortaya çıktığı keşfedilmiştir. Yazılım üç ana işlevden oluşmaktadır. Bunlar:

‘Check’: Hedefin üzerinde çalıştığı hizmeti tanımlamak ve doğrulamak için kullanılır.

Brut’: Hedefe kaba kuvvet saldırısı yapmak için kullanılır.

‘Finder’: Hedefte belirli bir hizmeti veya dosyayı bulmak için kullanılır.

Aşağıda verilen tablo, yazılımın saldırmaya çalıştığı hedefleri ve bunlara karşılık gelen komutları göstermektedir.

HedefKaba Kuvvet (Brute Force) KomutuKontrol (Check) Komutu
Bitrix24bitrixBrtbitrixChk
Cpanelep_bcpanelChecker/cp_chk
DrupaldrupalBrtdrupalChk
FTPftp_bftpChk
Basic AuthenticationhtpasswdBrthtpasswdChk
JoomlajoomlaBrtjoomlaChk
MagentomagentoBrtmagentoChk
MySQLmysql_bx
OpenCartOcartBrtOcartChk
PhpMyAdminphpadmin/php_bphadminChecker/php_chk
Portainerpbrtx
PostgreSQLpostgres_bx
QnapqnapBrtqnapChk
SSHssh_bx
SynologysynoBx
WHMwhm_bwhmChecker/whm_chk
WordPresswpBrtwpChk
WooCommercexwoo

Stealthworker kötü amaçlı yazılımı için tespit edilen bazı IoC bulguları şunlardır:

  • d488a660e43cd1630e322dfa4f07557b9687b12cb11648a10509a3cdd903a2c4
  • f6aee9551c4bf5d02dee8350fd61a4f1be5ec01de77a457dd3f6d2a5ada7010
  • fec7930ecd6e84971d5d66ffb16bd353f28a2ba02d2fb213eecacce7c271bbff
  • 06ac28e2a1a82135b6d33d9b4ee2a62e340b2ee0a254b08927c7f94e1cf184d8
  • 268de438bdbe7d2d7b38ab150032b41de1c91cb781ff3f6f723bf4422453b9b5

Stealthworker Kötü Amaçlı Yazılımından Korunma

Uzmanlar tarafından yapılan araştırmalar sonucunda yazılımdan korunmanın en iyi yolunun yazılımı silmek ve sistemdeki bütün parolaların güncelleştirilip güçlü parola politikasına uygun yapılandırmak olduğunda hemfikirler. Önemli bir nokta ise, daha önce stealthworker tarafından ele geçirilmiş sistemlerde bulunan parolaların belirlenerek, bir daha kullanılmaması adına listelenmesi.

Kişilerin, çalışanların bilgilerini korumak adına bilinçlendirilmesi ve güçlü parola politikası hakkında bilgilendirilmesi gerekmektedir.

Yazar: Oğuzhan Özdemir