Çeşitli tehdit aktörleri tarafından kullanılan 4.000’den fazla benzersiz web arka kapısı, terk edilmiş ve süresi dolmuş altyapılar üzerinde kontrol sağlanarak ele geçirildi. Bu işlem, bir domain için yalnızca 20 dolar harcanarak gerçekleştirildi.
Siber güvenlik şirketi watchTowr Labs, bu operasyonu, komuta ve kontrol (C2) amaçlı tasarlanmış arka kapıların kullandığı 40’tan fazla alan adını kaydederek gerçekleştirdiğini açıkladı. Shadowserver Foundation ile ortaklaşa yürütülen çalışmada, araştırma kapsamındaki alan adları “sinkhole” yöntemiyle kontrol altına alındı.
watchTowr Labs CEO’su Benjamin Harris ve araştırmacı Aliz Hammond, geçtiğimiz hafta yayımlanan teknik bir yazıda, “Terk edilmiş altyapıya veya süresi dolmuş alan adlarına bağımlı olan arka kapıları ele geçirdik ve sonuçların hızla bize akışını izledik” dedi.
Ele Geçirilen Sistemler ve Kurbanlar
Bu yöntem sayesinde, tehdit aktörlerinin yerleştirdiği arka kapılar üzerinden iletişim kuran cihazlar tespit edildi. Hedefler arasında Bangladeş, Çin ve Nijerya’daki devlet kurumları; Çin, Güney Kore ve Tayland’daki akademik kuruluşlar yer alıyordu.
Arka kapılar genellikle kalıcı uzaktan erişim sağlayarak daha fazla sömürüye olanak tanıyan web kabuklarıdır. Bu kabuklar, kapsam ve işlevsellik açısından farklılık göstermekte:
Basit web kabukları: PHP kodu aracılığıyla saldırganın sağladığı komutları çalıştırabilir.
c99shell ve r57shell: Keyfi kod veya komut çalıştırma, dosya işlemleri, ek zararlı yazılımlar yükleme, FTP sunucularını brute-force yöntemiyle kırma ve kendilerini kaldırma özelliklerine sahip tam donanımlı web kabuklarıdır.
China Chopper: Çin bağlantılı gelişmiş kalıcı tehdit (APT) grupları tarafından yaygın olarak kullanılan bir web kabuğu.
watchTowr Labs, bazı web kabuklarının, bunları yazan kişiler tarafından başka tehdit aktörlerine bilgi sızdıracak şekilde tasarlandığını da gözlemledi. Bu durum, farklı tehdit aktörlerinin aynı arka kapıları ele geçirmesine neden oldu.
“Saldırganlar da Hata Yapar”
watchTowr Labs, “Saldırganların da savunucular gibi hata yaptığını görmek cesaret verici” dedi. “Saldırganların hiç hata yapmadığı düşüncesine kapılmak kolay, ancak bunun aksine açık web kabukları, süresi dolmuş alan adları ve arka kapı bırakılmış yazılımları gözlemledik.”
Bu bulgular, siber güvenlikte hata yapan tarafların yalnızca savunucular olmadığını, saldırganların da aynı hataları yapabildiğini ortaya koyuyor.
Bu olay, siber güvenlik alanında hem savunma hem de saldırı stratejilerinin zayıflıklarını gözler önüne seriyor ve kök neden analizi ile çözüm önerileri açısından değerlendirilmesi gereken önemli bir örnek teşkil ediyor. Kök neden olarak, tehdit aktörlerinin terkedilmiş ve süresi dolmuş altyapıları yeniden ele geçirebilmesi, hem sistem yöneticilerinin güvenlik altyapılarını yeterince izlememesi hem de tehdit aktörlerinin eski saldırı yöntemlerini kullanmaya devam etmesi gösterilebilir. Ayrıca, web shell’lerin sıklıkla güncellenmeyen veya dikkatlice izlenmeyen ortamlarda bırakılması, bu açıkların yaygınlaşmasına neden olmuştur. Çözüm önerisi olarak, şirketlerin düzenli altyapı envanteri çıkarması, kullanılmayan domainlerin otomatik olarak izlenmesi ve kapatılması için bir süreç geliştirilmesi gerekmektedir. Bunun yanında, web shell gibi yaygın tehditler için proaktif tarama araçlarının uygulanması ve ağ trafiğinin sürekli analiz edilmesi, bu tür saldırıları önleme konusunda kritik bir rol oynayabilir. Bu durum, ayrıca, saldırganların zayıflıklarından yararlanma stratejisinin (örneğin, sinkhole operasyonları) savunucular tarafından daha geniş bir ölçekte uygulanabileceğini göstermektedir.
