Son birkaç yılda ortaya çıkan Stealthworker kötü amaçlı yazılımı son günlerde karşımıza daha sık çıkmaya başladı. Peki nedir bu Stealthworker? Stealthworker kötü amaçlı yazılımı, GoLang tabanlı, hem Windows hem de Linux makinelerine bulaşabilen, saldırganlar tarafından gönderilen hedeflere kaba kuvvet saldırıları (brute-force) gerçekleştirebilen bir yazılımdır. Kişisel bilgi ve ödeme ayrıntılarını çalmaya yönelik kullanılan bu yazılım, sisteme girdikten sonra sistemin her noktasına erişim imkanı sağlamaktadır.
Stealthworker zararlı yazılımı Backup, Bitrix, Cpanel, Drupal, FTP, Joomla, Magento, Mysql, Opencart, Postgres, SSH, WHM, WordPress gibi en yaygın platform ve web hizmetlerini hedef almaktadır. Yazılım sisteme girdiğinde, kurbanın bilgisayarını bir botnet zombisine dönüştürüldüğünü, Komut-Kontrol (c2) sunucusuna bağlandığını ve hazır olduğunu bildirir.
| Hedef Yerleri | ||
|---|---|---|
| Backup | Htpasswd | PMA (PhpMyadmin) |
| Bitrix | Joomla | Postgres |
| Cpanel | Magento | SSH |
| Drupal | Mysql | WHM |
| FTP | Opencart | WordPress |
Stealtworker kötü amaçlı yazılımının gelişmeye devam ettiği ve yeni sürümlerinin ortaya çıktığı keşfedilmiştir. Yazılım üç ana işlevden oluşmaktadır. Bunlar:
‘Check’: Hedefin üzerinde çalıştığı hizmeti tanımlamak ve doğrulamak için kullanılır.
‘Brut’: Hedefe kaba kuvvet saldırısı yapmak için kullanılır.
‘Finder’: Hedefte belirli bir hizmeti veya dosyayı bulmak için kullanılır.
Aşağıda verilen tablo, yazılımın saldırmaya çalıştığı hedefleri ve bunlara karşılık gelen komutları göstermektedir.
| Hedef | Kaba Kuvvet (Brute Force) Komutu | Kontrol (Check) Komutu |
|---|---|---|
| Bitrix24 | bitrixBrt | bitrixChk |
| Cpanel | ep_b | cpanelChecker/cp_chk |
| Drupal | drupalBrt | drupalChk |
| FTP | ftp_b | ftpChk |
| Basic Authentication | htpasswdBrt | htpasswdChk |
| Joomla | joomlaBrt | joomlaChk |
| Magento | magentoBrt | magentoChk |
| MySQL | mysql_b | x |
| OpenCart | OcartBrt | OcartChk |
| PhpMyAdmin | phpadmin/php_b | phadminChecker/php_chk |
| Portainer | pbrt | x |
| PostgreSQL | postgres_b | x |
| Qnap | qnapBrt | qnapChk |
| SSH | ssh_b | x |
| Synology | synoB | x |
| WHM | whm_b | whmChecker/whm_chk |
| WordPress | wpBrt | wpChk |
| WooCommerce | x | woo |
Stealthworker kötü amaçlı yazılımı için tespit edilen bazı IoC bulguları şunlardır:
- d488a660e43cd1630e322dfa4f07557b9687b12cb11648a10509a3cdd903a2c4
- f6aee9551c4bf5d02dee8350fd61a4f1be5ec01de77a457dd3f6d2a5ada7010
- fec7930ecd6e84971d5d66ffb16bd353f28a2ba02d2fb213eecacce7c271bbff
- 06ac28e2a1a82135b6d33d9b4ee2a62e340b2ee0a254b08927c7f94e1cf184d8
- 268de438bdbe7d2d7b38ab150032b41de1c91cb781ff3f6f723bf4422453b9b5
Stealthworker Kötü Amaçlı Yazılımından Korunma
Uzmanlar tarafından yapılan araştırmalar sonucunda yazılımdan korunmanın en iyi yolunun yazılımı silmek ve sistemdeki bütün parolaların güncelleştirilip güçlü parola politikasına uygun yapılandırmak olduğunda hemfikirler. Önemli bir nokta ise, daha önce stealthworker tarafından ele geçirilmiş sistemlerde bulunan parolaların belirlenerek, bir daha kullanılmaması adına listelenmesi.
Kişilerin, çalışanların bilgilerini korumak adına bilinçlendirilmesi ve güçlü parola politikası hakkında bilgilendirilmesi gerekmektedir.
Yazar: Oğuzhan Özdemir