Mirai saldırılarına karşı önlemler

Melih Artar
Arbor Networks
Türkiye Müşteri İlişkileri Yöneticisi
2016’nın son günlerinde yeni bir saldırı türü ile karşı karşıya kaldık: Bilindik Mirai kaynak kodunda bulunan Telnet tabanlı deneme yanılma mekanizmasından farklı bir yayılma mekanizması kullanan yeni bir Mirai türevi. Bu yeni türev, İnternet kullanıcılarının geniş bant yönlendiricilerini uzaktan yönetmek üzere İnternet servis sağlayıcıları (İSS) tarafından kullanılan TR-064/TR-069 protokolünün savunmasız uygulamalarından faydalanıyor. Bu Mirai türevi hakkında çokça makale yayımlanmasına karşın, önemli ayrıntıların gözden kaçtığını ya da sansasyonel bir havada sunulduğunu gözlemliyoruz. Siber saldırganlar, online erişimi engellemeye yönelik DDoS saldırılarını para sızdırma amacıyla kullanmayı sürdürüyor. DDoS saldırıları giderek artarken, bu tehdidin artık geniş bant erişimli cihazları hedef almasıyla birlikte, İnternet servis sağlayıcılarının Mirai'nin etkisini azaltmak için yönlendirilmesi önem taşıyor. Çünkü İSS’ler aynı zamanda müşterilerinin ağ güvenliği ve performansından da sorumlu… 
TR-064/TR-069 Mirai türevine dayanan botnet saldırısının, bazı medya organlarında “hizmet olarak DDoS formu”nda kullanıldığı yazıldı. Bu sözde Booter/Stresser veya kiralık DDoS hizmetleri, ücretini ödeyen herkesin istediği yere DDoS saldırısı düzenlemesine izin veriyor. Elbette, Mirai tabanlı olsun veya olmasın, bir botnet saldırısının para kazanmak amacıyla gerçekleştirilmesi kimse için şaşırtıcı olmamalı. Aslında bu botnet ağının var oluş amacı da budur. Ekonomik modeli, mobil sanal ağ operatörlerinin (MVNO) ekonomik modelini genel hatlarıyla taklit ediyor. Wikipedia'ya göre:
Mobil sanal ağ operatörü (MVNO) veya farklı lisanslı mobil operatör (MOLO), müşterilerine hizmet sunmak üzere kullandığı kablosuz ağ altyapısının sahibi olmayan bir kablosuz iletişim sağlayıcısıdır. MVNO, ağ hizmetlerine toptan fiyatlarla geniş çaplı erişim sağlamak üzere bir mobil ağ operatörü ile iş anlaşması gerçekleştirir ve sonrasında perakende fiyatları bağımsız olarak belirler. MVNO kendi müşteri hizmetini, faturalandırma destek sistemlerini, pazarlama ve satış personelini kullanabilir veya bir mobil sanal ağ sağlayıcısının (MVNE) hizmetlerinden faydalanabilir.
Bu örneğe baktığımızda, Mirai botnet ağını tasarlayan ve bunu işleten tehdit aktörleri, mobil ağ operatörleridir. Botnet alt yapısının sahibidirler ve diğer tehdit aktörlerine (bu örnekte MVNO'lar) yönetilen erişim sağlarlar. 2. düzey tehdit aktörleri (bu örnekte MVNO'lar) ise kendi fiyat tablolarını hazırlayıp istedikleri şekilde pazarlayarak, son müşterilerine kiralık DDoS hizmeti sunar. Bazı durumlarda Mirai'yi kullanabilirler; diğer durumlarda ise kendi botnet altyapılarını pazarlamaya çalışırlar. Mirai kaynak kodunda botnet altyapısına MySQL hesap veritabanı, API ve CLI seviyelerinde erişime sahip böyle bir model için yerleşik destek bulunuyor.
Mirai nasıl yayıldı?
Bu en yeni Mirai türevinin kullandığı yayılma mekanizması, sızan orijinal Mirai kaynak kodunda kullanılan yayılma mekanizmasından biraz farklı. Sızan orijinal Mirai kodu, Telnet tabanlı deneme yanılma yöntemini kullanarak, tasarım ve yapılandırma alanlarında güvenli olmayan IoT cihazlarını ele geçirir. Varsayılan kullanıcı adları ve parolalardan oluşan önceden belirlenmiş liste, genelde web kameraları ve DVR'ların ele geçirilmesiyle elde edilir. Bu yeni Mirai türü ise müşterilerin konumlarında bulunan ekipmanları (öncelikle ev yönlendiricileri) uzaktan yönetmek üzere ISP'ler tarafından kullanılan TR-064/TR-069 protokolünün savunmasız durumdaki uygulamalarından faydalanıyor. Protokolün savunmasız durumdaki uygulaması (CPE WAN Yönetim Protokolü – CWMP olarak da bilinir), istenen kodun HTTP üzerinden 7547 no'lu porta yapılandırma parametresi içeren bir SOAP mesajı gibi iletilmesi sayesinde etkilenen yönlendiricilerde çalıştırılmasına olanak tanıyor. İstenen kodun yürütülmesi, Mirai veri yükünün indirilip yönlendiriciye yüklenmesine izin veriyor; böylece cihazın Mirai Botnet altyapısına katılması sağlanıyor. IoT cihazı botnet altyapısının parçası haline geldiğinde, komut verildiği zaman DDoS saldırıları başlatabiliyor ve ele geçirilecek diğer cihazları taramaya başlıyor.
Son kesintiler neden yaşandı?
“Krebs on Security” blogu, Fransız barındırma sağlayıcısı OVH, Yönetilen DNS sağlayıcısı Dyn ve Liberya'daki bir mobil operatör gibi hedeflere yapılan bazı yüksek profilli DDoS saldırılarının ardında Mirai botnet altyapısı olduğunun bilinmesi nedeniyle birçok kişi yanlış kanıya vardı. Avrupa'nın iki büyük genişbant sağlayıcısında ve Alman Bilgi Güvenliği Federal Ofisi'nde (BSI) yaşanan son kesintilerin de Mirai tabanlı DDoS saldırılarından kaynaklandığını düşündüler.
Bu son kesintilerin nedeni kesinlikle DDoS saldırıları değildir! Bu kesintilerin nedeni agresif yatay tarama ve bir önceki bölümde anlatılan yayılma mekanizmasını kullanarak ev yönlendiricilerinin ele geçirilmeye çalışılmasıdır.

Mirai saldırıları karşısında neler yapılmalı?
Arbor’ın güvenlik çözümlerini kullanan şirketler, Mirai tabanlı DDoS saldırılarının etkisini azaltmak için Arbor ATAC veya yerel danışman mühendisleri aracılığıyla, Mirai IoT Botnet Tanımı ve DDoS Saldırısının Etkilerini Azaltmakla Görevli ASERT Tehdit Danışmanlığı'na başvurabilir. Arbor kullanıcısı olmayanlar ise aynı başlığı taşıyan ASERT bloguna bakabilirler.
Genişbant erişimli ISP'ler ele geçirilmiş ve/veya savunmasız durumdaki düğümleri tespit etmek için müşterilerinin erişim ağlarını proaktif olarak taramalı ve cihazlarının savunmasız olması durumunda kullanıcıları bu konuda bilgilendirmek için harekete geçmelidir. Kendi CPE cihazlarının savunmasız olduğu durumlarda ISP'ler bu cihazları değiştirmek için gerekli adımları hiç vakit kaybetmeden atmalıdır. Çünkü saldırganlar yoğun bir tarama aktivitesi sonucunda cihazların yeniden başlatılmasıyla birlikte bu cihazları yeniden ele geçirebilir. Bu CPE cihazlarındaki uzaktan ağ yönetimi olanaklarına sadece ISP'lerin özel ağ yönetimi sistemlerinin erişebilmesini sağlamak için DSL genişbant ağlarını işleten ISP'lerin En İyi Güncel Yöntemleri (BCP'ler) uygulamaları gerekir. Kablolu modem operatörlerinin, ağlarındaki CPE cihazlarını uzaktan yönetmek için kullandıkları DOCSIS ağ yönetimi sistemlerinde aynı işlemi gerçekleştirmeleri gerekir. Buna ek olarak, ARP'lere ve ele geçirilmiş cihazların savunmasız durumdaki diğer CPE cihazlarını botnet altyapısına dahil etmek üzere gerçekleştireceği taramalarla oluşabilecek kontrol düzeyi trafiğe hız sınırı getirmek için ISP'lerin ağ cihazlarında tümleşik olarak bulunan ağ altyapısı kendini koruma mekanizmalarını kullanması gerekir. Bu tarz taramaların neden olduğu yan etkilerin sınırlanması sayesinde, ele geçirilen CPE cihazlarının yoğun tarama etkinliği büyük kullanıcı gruplarını etkileyemeyecektir.