CrowdStrike, Google ve Shadowserver Vakfı'nın da dahil olduğu bir sektör çalışması Glassworm botnet'in bozulmasına yol açtı.
Üç kuruluş birlikte çalışarak Glassworm'un komut ve kontrol (C2) kanallarının dördünü de eşzamanlı olarak devre dışı bırakmayı başardı, böylece operatörlerin virüslü makinelerden ayrılması ve yeni kötü amaçlı yükler sunma yetenekleri ortadan kalktı.
Bu kanallar, ticari sanal özel sunucularda (VPS) barındırılan geleneksel C2 sunucularını içeriyordu.
Uzmanların Görüşleri
Botnet aynı zamanda Base64 ile kodlanmış C2 yolları için son nokta olarak kullanılan Google Takvim etkinlik başlıkları, eşler arası ağlar ve blok zinciri tabanlı altyapı gibi daha az yaygın ve daha gizli varlıklara, özellikle de Solana blok zincirindeki işlemlerin not alanlarına kodlanan C2 sunucu adreslerine dayanıyordu.
Teknik Analiz
Glassworm uzaktan erişim aracı, sabit kodlanmış genel anahtarlarda depolanan yapılandırma verileri için BitTorrent eşler arası ağını sorguladı.
Sonuç ve Değerlendirme
CrowdStrike, 26 Mayıs'ta yayınlanan bir raporda şunları kaydetti: "Blockchain, eşler arası ve meşru web hizmetlerinin çözüm katmanları olarak birleşimi, yayından kaldırmalara karşı dayanıklı olacak şekilde tasarlandı - gerçek C2 sunucularını birden fazla dolaylı katman arkasında koruyan dinamik bir cephe."
Bu nedenle tehdit avcıları tüm kanalları aynı anda engellemek zorunda kaldı.
Nasıl Önlem Alınmalı?
CrowdStrike, "Yalnızca bir kanalın kapatılması diğerlerini çalışır durumda bırakacak ve operatörlerin hızlı bir şekilde yeniden yapılandırmalarına olanak tanıyacaktır" diye ekledi.