Microsoft araştırmacıları, devre dışı bırakmak için oldukça verimli bir teknik kullanan hibrit bir Windows-Linux botnet keşfettiler. minecraft sunucular ve diğer platformlarda dağıtılmış hizmet reddi saldırıları gerçekleştirir.
MCCrash olarak adlandırılan botnet, DDoS saldırılarında kullanılmak üzere Windows makinelerine ve çeşitli Linux dağıtımlarını çalıştıran cihazlara bulaşıyor. Botnet yazılımının kabul ettiği komutlar arasında ATTACK_MCCRASH
. Bu komut, kullanıcı adını bir minecraft ile sunucu giriş sayfası ${env:random payload of specific size:-a}
. Dize, sunucunun kaynaklarını tüketir ve çökmesine neden olur.
“kullanımı env
değişkeni, sistem kaynaklarının anormal tüketimine neden olan (Log4Shell güvenlik açığıyla ilgili olmayan) Log4j 2 kitaplığının kullanımını tetikler ve bu da belirli ve oldukça verimli bir DDoS yöntemi gösterir,” diye yazdı Microsoft araştırmacıları. “Çok çeşitli Minecraft sunucu sürümleri etkilenebilir.”
Şu anda, MCCrash yalnızca 1.12.2 sürümünü hedeflemek üzere kodlanmıştır. minecraft sunucu yazılımı. Ancak saldırı tekniği, dünyadaki sunucuların yaklaşık yarısını çalıştıran 1.7.2 ila 1.18.2 sürümlerini çalıştıran sunucuları devre dışı bırakacaktır. minecraft sunucular. Kötü amaçlı yazılım, savunmasız tüm sürümleri hedefleyecek şekilde güncellenirse, erişimi çok daha geniş olabilir. bir değişiklik minecraft sunucu sürümü 1.19, saldırının çalışmasını engeller.
“Geniş risk altındaki minecraft sunucular, bu kötü amaçlı yazılımın 1.12.2’nin ötesindeki sürümleri etkilemek için özel olarak kodlanmış olsaydı sahip olabileceği etkiyi vurguluyor,” diye yazdı Microsoft araştırmacıları. “Bu tehdidin, genellikle botnet’in bir parçası olarak izlenmeyen IoT cihazlarını kullanma konusundaki benzersiz yeteneği, etkisini önemli ölçüde artırıyor ve tespit edilme şansını azaltıyor.”
MCCrash için ilk bulaşma noktası, Microsoft işletim sistemi için korsan lisanslar verdiğini iddia eden yazılımlar kuran Windows makineleridir. İndirilen yazılımda gizlenen kod, cihaza gizlice kötü amaçlı yazılım bulaştırır ve sonunda botnet için ana mantığı sağlayan bir python betiği olan malware.py’yi yükler. Virüslü Windows cihazları daha sonra SSH bağlantılarını kabul eden Debian, Ubuntu, CentOS ve IoT cihazlarını aramak için İnternet’i tarar.
MCCrash bulunduğunda, aynı malware.py komut dosyasını Linux cihazında çalıştırma girişiminde ortak varsayılan oturum açma kimlik bilgilerini kullanır. Hem Windows hem de Linux cihazları, bu durumda aşağıdakileri gerçekleştiren bir botnet’in parçasıdır: minecraft saldırı ve diğer DDoSe biçimleri. Aşağıdaki grafik saldırı akışını göstermektedir.
MCCrash’in bulaştığı cihazların dökümü, çoğunun Rusya’da bulunduğunu gösteriyor. Microsoft, kaç cihaza virüs bulaştığını söylemedi. Şirket araştırmacıları, botnet operatörlerinin bunu suç forumlarında DDoS hizmetleri satmak için kullandıklarına inandıklarını söylediler.