Miori Zararlı Yazılımı ve Uygulanabilecek SIEM Kuralları

Genel Bakış

Her geçen gün kullanımı yaygınlaşan IoT(Internet of things) cihazlar ile beraber bu sistemlere karşı ortaya çıkan zararlı yazılımlar da artıyor. Bu zararlıların içerisinde belki de en çok duyulanı Mirai botnetidir. Mirai ve türevi olan Miori’ye geçmeden önce botnetin ne demek olduğunu açıklayalım. Zararlı yazılım bulaştıktan sonra başka biri tarafından kontrol edilen sistemlere bot denir. Botnet ise birden fazla botun oluşturduğu botlar topluluğudur. Botnetler genelde DDoS ataklarında kullanılmaktadır. Mirai zararlısı ilk olarak Ağustos 2016’da tespit edildi. Mirai’nin şimdiye kadarki en büyük DDoS ataklarında kullanıldığı ortaya çıkmıştır [1]. 2016’da kaynak kodlarının yayınlanmasından[4] sonra çok fazla Mirai türevi çıkmıştır. Miori ise Aralık 2018’de keşfedilen bir Mirai türevidir. IoT cihazları hedef alan Miori, genel olarak belirli bir zafiyeti hedef alıp, o zafiyet üzerinden kurbanlarına bulaşmıştır.
Bulaşma Yolları
Miori bir PHP kütüphanesi olan ThinkPHP’nin 11 Aralık 2018’de yayınlanan Remote Code Execution (RCE) açığını[2] kullanıyor. Bu açık ThinkPhp 5.0.23 ile 5.1.31 versiyonları arasında kullanılabiliyor. Miori dışında başka Mirai türevleri olan IZ1H9 ve APEP’in de aynı zafiyeti kullandığı ortaya çıkıyor. ThinkPHP açık kaynak bir CMS kütüphanesidir. Geliştiricileri Çinlidir ve Çin’de kullanımı fazladr. Shodan’da küçük bir aramayla toplam 46,048 adet sistemin ThinkPHP ile çalıştığını görebiliriz.

Shodan'dan 05.01.2019 tarihinde alınan ThinkPHP kullanım istatistiği







Temel Bilgiler

MIME                         application/octet-stream
Dosya Bilgisi             ELF 64-bit Çalıştırılabilir Dosya
MD5                           e46db7ceeff2378b8dcdc153c5f97ef3
SHA1                         29a5ddf26a48986e27e85f11df0b35ba90f44788
SHA256                     12a4775fce7e59ce2a71e7f4de07debeba6e534e1c256870ca576cabbb35affd    




VirusTotal sonucunda 19 anti-virüs programı tarafından zararlı bulundu.


Sistem Üzerinde Neler Yapıyor?

Miori’yi daha iyi anlamak için sistem üzerinde genel hatlarıyla neler yaptığını açıklamak isterim. Saldırgan ilk başta ThinkPHP zafiyetini sömürüp sisteme erişim sağlıyor. Erişimi sağladıktan sonra saldırgan kendi sunucusundaki zararlı yazılımı, işlemci türüne göre(x86, arm vb.), indirip çalıştırıyor. Zafiyeti sömürdükten sonra sisteme bulaşan zararlı çalıştığı zaman aşağıdaki gibi bir çıktı vermektedir.
Miori çalıştığındaki çıktı
Miori çalıştıktan sonra 80.211.57.80 ip adresine TCP paketleri yollamaktadır. Bu IP adresinin detayları şu şekildedir.


IP adresi hakkında genel bilgi





 
Sisteme bulaştığını onaylamak için C&C’ye “/bin/busybox MIORI” komutunu yolluyor. Sisteme bulaştığını haber verdikten sonra C&C’den komutları beklemeye başlıyor.

Miori'nin kontrol sunucusyla haberleşmesi



Bunların dışında TrendMicro firmasının yaptığı araştırmalar sonucu içerisinde gömülü olan stringlerin XOR’lanmış olduğu ortaya çıktı[3]. XOR anahtarı ise 0x62’dir.
Orjinal                          Şifrelenmiş
MIORIh                         B/+-0+b
-9 h                               BO[Bb
/FTWDT101\ h           M$65&6SRS>B
  

Özet

Miori zararlı yazılımının ne olduğunu ve ne yapmaya çalıştığının anlatıldığı bu yazıyı, güzel bir özet görseliyle destekleyebiliriz.
                                                 

 
Miori türünün ilk örneği değil ve son örneği de olmayacak gibi gözüküyor. IoT cihazların yaygınlaşmasıyla daha da yetenekli zararlı yazılımlar göreceğimize şüphe yok. Öneriler kısmında anlatılanların uygulanması halinde sistemlerimiz daha güvenli hale gelebilir.
Öneriler
  • Sisteminizi her zaman güncel tutun.
  • ThinkPHP kullanıyorsanız hemen güncelleme yapın.
  • IoT cihazlarınızı varsayılan kullanıcı adı ve parolaları ile kullanmayın.
  • IoT cihazlarınızı sadece kendi belirlediğiniz adreslerden erişim sağlayacak şekilde ayarlayabilirsiniz.
  • Güvenmediğiniz dosyaları çevrimiçi araçlarla(VirusTotal, hybrid-analysis vb.) kolayca analiz edip, ondan sonra çalıştırabilirsiniz.
Miori’nin tespit edilmesi için kullanılabilecek Sigma kuralları

Miori ve kontrol sunucusu arasındaki haberleşmenin tespiti için kullanılabilecek kural: 

title: Miori botnet communication with C&C server. 
description: Detect suspicious traffic of Miori botnet communicate with C&C server.
author: Burak ÇARIKÇI
references:
https://blog.trendmicro.com/trendlabs-security-intelligence/with-mirai-comes-miori-iot-botnet-delivered-via-thinkphp-remote-code-execution-exploit/
date: 2019/01/02
status: testing
logsource:
category: firewall
detection:
outgoing:
dst:
- 80.211.57.80
- 144.202.49.126
incoming:
src:
- 80.211.57.80
- 144.202.49.126
condition: outgoing or incoming
falsepositives:
- Unknown
level: high

Yazıda bahsedilen ThinkPHP zafiyeti için aşağıdaki kural kullanılabilir:
 
title: ThinkPHP 5.0.23/5.1.31 - Remote Code Execution.
description: This rule detects remote code execution vulnerability in ThinkPHP between versions 5.02.23 - 5.1.31. Usage of this exploit may be pointed to Miori botnet.
reference: https://www.exploit-db.com/exploits/45978
author: Burak ÇARIKÇI
status: testing
date: 2019/01/02
logsource:
product: web
detection:
selection1:
URL:
-
*/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'*;'
condition: selection1
fields:
- URL
falsepositives:
- Unknown
level: high
mitre-attack:
Command and Control:
- Execution
- Web Service

Busybox tespiti: 

title: Detect BusyBox usage on Linux systems.
description: BusyBox usage can refer to Mirai or Mirai variant botnets.
references:
https://www.alienvault.com/blogs/security-essentials/the-mirai-botnet-tip-of-the-iot-iceberg
https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html
author: Burak ÇARIKÇI
status: testing
date: 2019/01/02
logsource:
product: linux
service: auditd
detection:
cmd:
- type: 'EXECVE'
a0: 'busybox'
a1: '*'
condition: cmd
falsepositives:
- Admin activity
level: medium

Kaynakça
  1. 2016 Dyn cyberattack: https://en.wikipedia.org/wiki/2016_Dyn_cyberattack
  2. ThinkPHP 5.0.23/5.1.31 - Remote Code Execution zafiyeti: https://www.exploit-db.com/exploits/45978
  3. With Mirai Comes Miori: IoT Botnet Delivered via ThinkPHP Remote Code Execution Exploit: https://blog.trendmicro.com/trendlabs-security-intelligence/with-mirai-comes-miori-iot-botnet-delivered-via-thinkphp-remote-code-execution-exploit/
  4. Mirai’nin kaynak kodları: https://github.com/jgamblin/Mirai-Source-Code
Burak Çarıkçı
CT-Zer0
CRYPTTECH

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,...
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is...
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değer...
Devamını okuyun