Botnet'i binlerce bulaşmış yönlendiriciden silmek zor olsa da etkili bir mücadele yöntemi var

Yeni bir dayanıklı botnet tespit edildi – KadNap

*Black Lotus Labs (Lumen) araştırmacıları, silinmeye çalışılsa da işlevini sürdüren kötü amaçlı bir ağı ortaya çıkardı.*

Ne bulduk
- KadNap botneti yaklaşık 14.000 yönlendirici ve diğer ağ cihazlarını etkiledi; çoğu Asus üreticisinden.

- Virüs, ekipman sahipleri tarafından kapatılmamış açıklar üzerinden yayıldı.

Çoğu enfekte cihaz Asus modeline ait çünkü saldırganlar bu seri için güvenilir bir exploit bulmuştu.

Tehdit değerlendirmesi
- Araştırmacılar, sıfır gün (şimdiye kadar bilinmeyen açıklık) kullanımının düşük olasılığında olduklarını düşünüyor.

- Geçen yılın Ağustos ayında enfekte cihaz sayısı 10.000’e ulaşmıştı ve çoğu ABD’deydi. Tayvan, Hong Kong ve Rusya’da da birkaç yüz vaka tespit edildi.

Çalışma tekniği
KadNap, yönetim sunucularının IP adreslerini gizleyen Kademlia tabanlı eşleştirme mimarisi – dağıtılmış hash tabloları kullanıyor. Bu, botneti fark edilmesi zor ve geleneksel silme yöntemlerine karşı neredeyse dayanılmaz kılıyor.

> “Botnet, anonim proxy’ler yerine merkezi olmayan bir eşleme ağı kullandığı için öne çıkıyor,” diyor Chris Formos ve Steve Radd Black Lotus’un Lumen blogunda.

> “Saldırganların amacı tespit edilmesini önlemek ve bilgi güvenliği uzmanlarının çalışmalarını zorlaştırmaktır.”

Nasıl yanıt veriyorlar
- Geleneksel engelleme yöntemlerine karşı dayanıklı olmasına rağmen, Black Lotus botnet yönetim altyapısı ile diğer düğümler arasındaki tüm ağ trafiğini kesmek için bir yol geliştirdi.

- Takım, KadNap’a erişimi hızlıca engelleyebilmesi için açık kaynaklara sızıntı göstergeleri yayıyor.

Böylece KadNap, Asus zafiyetlerini ve eşleme ağı kullanarak yönetimini gizleyen karmaşık, merkezi olmayan bir botnet olarak karşımıza çıkıyor. Ancak Lumen uzmanları yayılımını durdurmanın yolunu bulmuş durumda ve ağın daha fazla enfekte olmasını önlemek için koruma araçları sunuyor.