Trickbot’un komuta ve kontrol altyapısında IoT cihazlarını kullanmasını ortaya çıkarmak

IoT Araştırma Ekibi için Microsoft Defender Microsoft Tehdit İstihbarat Merkezi (MSTIC)

2016’daki keşfinden bu yana önemli ölçüde gelişen sofistike bir truva atı olan Trickbot, yeteneklerini sürekli olarak genişletti ve aksama çabalarına ve altyapısının çevrimdışı olduğu haberlerine rağmen, son yıllarda en kalıcı tehditlerden biri olmayı başardı. Kötü amaçlı yazılımın modüler yapısı, farklı ağlara, ortamlara ve cihazlara giderek daha fazla uyarlanabilir olmasını sağladı. Buna ek olarak, çok sayıda eklenti, Ryuk fidye yazılımı gibi diğer kötü amaçlı yazılımlar için hizmet olarak erişim arka kapıları ve madencilik yetenekleri içerecek şekilde büyümüştür. Gelişiminin önemli bir kısmı, süreklilik yeteneklerinin sürekli iyileştirilmesi, araştırmacıları kaçırma ve tersine mühendislik dahil olmak üzere saldırılarını ve altyapısını algılamaya karşı daha dayanıklı hale getirmeyi de içerir.ve komuta ve kontrol (C2) çerçevesinin istikrarını korumanın yeni yollarını bulmak.

Bu sürekli evrim, kötü amaçlı yazılımın MikroTik cihazlarını ve modüllerini kullanmak için C2 altyapısını güncelleyerek, Trickbot’un erişimini bilgisayarlardan yönlendiriciler gibi Nesnelerin İnterneti (IoT) cihazlarına genişlettiğini gördü . MikroTik yönlendiriciler, dünya çapında farklı endüstrilerde yaygın olarak kullanılmaktadır. Trickbot, C2 sunucuları için proxy sunucuları olarak MikroTik yönlendiricileri kullanarak ve trafiği standart olmayan bağlantı noktaları üzerinden yeniden yönlendirerek, kötü niyetli IP’lerin standart güvenlik sistemleri tarafından algılanmamasına yardımcı olan başka bir kalıcılık katmanı ekler.

IoT için Microsoft Defender araştırma ekibi, kısa süre önce Trickbot’un C2 altyapısında MikroTik cihazlarının kullanıldığı kesin yöntemi keşfetti. Bu blogda, söz konusu yöntemle ilgili analizimizi paylaşacağız ve saldırganların Trickbot saldırılarında MikroTik cihazlara nasıl eriştiği ve güvenliği ihlal edilmiş IoT cihazlarını nasıl kullandığı hakkında bilgi vereceğiz.

Bu analiz, MikroTik cihazlarında Trickbot ile ilgili güvenlik ihlallerini ve diğer şüpheli göstergeleri belirlemek için bir adli araç geliştirmemizi sağladı. Bu aracı , müşterilerin bu IoT cihazlarının bu saldırılara açık olmadığından emin olmalarına yardımcı olmak için yayınladık. Ayrıca, tespit edilmesi ve bulunursa güvenliğin giderilmesi için önerilen adımların yanı sıra gelecekteki saldırılara karşı koruma sağlamak için genel önleme adımlarını da paylaşıyoruz.

Bir C2 sunucusuna, güvenliği ihlal edilmiş bir IoT cihazına ve bir hedef ağa erişimi olan bir saldırganı gösteren diyagram, bunların hepsi arasında bir iletişim hattı çalışır.  Her bileşenin sağında, onunla ilgili karşılık gelen saldırı zinciri rutinleri gösterilir.
Şekil 1. Trickbot saldırı şeması

Saldırganlar Trickbot C2 için MikroTik cihazlarını nasıl tehlikeye atıyor?
Trickbot’un MikroTik cihazlarını kullanma amacı, Trickbot’tan etkilenen cihaz ile C2 sunucusu arasında ağdaki standart savunma sistemlerinin algılayamadığı bir iletişim hattı oluşturmaktır. Saldırganlar işe bir MikroTik yönlendiriciyi hackleyerek başlıyor. Bunu, aşağıdaki bölümde ayrıntılı olarak tartışacağımız birkaç yöntemi kullanarak kimlik bilgileri alarak yaparlar.

Saldırganlar daha sonra, yönlendiricideki iki bağlantı noktası arasındaki trafiği yeniden yönlendiren ve Trickbot’tan etkilenen cihazlar ile C2 arasındaki iletişim hattını oluşturan benzersiz bir komut yayınlar. MikroTik cihazları benzersiz donanım ve yazılımlara, RouterBOARD ve RouterOS’a sahiptir. Bu, böyle bir komutu çalıştırmak için saldırganların RouterOS SSH kabuk komutlarında uzmanlığa ihtiyacı olduğu anlamına gelir. Bu SSH kabuk komutlarını içeren trafiği izleyerek bu saldırgan yöntemini ortaya çıkardık.

Güvenliği ihlal edilmiş bir IoT cihazıyla iletişim kurmak için 449 numaralı bağlantı noktasını kullanan Trickbot'tan etkilenen bir cihazı gösteren diyagram.  IoT cihazı da Trickbot C2 ile iletişim kurmak için 80 numaralı bağlantı noktasını kullanır.
Şekil 2. Trickbot bulaşmış cihaz ile Trickbot C2 arasındaki doğrudan iletişim hattı

Metnin aslına ulaşmak için:

https://www.microsoft.com/security/blog/2022/03/16/uncovering-trickbots-use-of-iot-devices-in-command-and-control-infrastructure/