RustDuck Botnet, DDoS için Yönlendiricileri ve Sunucuları Ele Geçirmek amacıyla Rust'ta Yeniden Oluşturuluyor Linux

RustDuck Botnet, DDoS için Yönlendiricileri ve Sunucuları Ele Geçirmek amacıyla Rust'ta Yeniden Oluşturuluyor

RustDuck adı verilen iki aşamalı yeni bir kötü amaçlı yazılım ailesi, evdeki yönlendiricileri, IP kameraları, Android kutularını ve güvenliği zayıf su...

RustDuck adı verilen iki aşamalı yeni bir kötü amaçlı yazılım ailesi, evdeki yönlendiricileri, IP kameraları, Android kutularını ve güvenliği zayıf sunucuları ele geçirip bunları web sitelerini ve çevrimiçi hizmetleri çevrimdışına çıkarmak için oluşturulmuş bir ağa ekliyor.

QiAnXin'in XLab'ındaki araştırmacılar bunu Şubat 2026'dan beri takip ediyor ve asıl hikayenin bugün ne kadar büyük olduğu değil, ne kadar hızlı değiştiği olduğunu söylüyor.

Nihai amaç, dağıtılmış bir hizmet reddi (DDoS) saldırısıdır: Hedefi, etkilenen makinelerden gelen gereksiz trafikle, hedef çökünceye kadar doldurur.

RustDuck kalabalık bir alana giren bir isim daha ama iki nedenden dolayı öne çıkıyor. C programlama dilinden Rust'a yeniden yazılıyor ve yeni sürümleri üzerinde çalışılmaması veya kapatılmasını önlemek için olağandışı uzunluklara gidiyor.

Nasıl yayılır?

RustDuck tek bir akıllı numaraya dayanmaz. Eski, iyi bilinen zayıflıkların bir karışımını püskürtür ve kişinin kalıcı olmasını umar. Bunlardan ilki kitabın en eskisidir: Uzaktan oturum açma hizmetlerinde (Telnet ve SSH) zayıf veya varsayılan parolalarla internette bırakılan cihazlar. Şifreyi tahmin et ve içeri gir.

İkincisi ise yamalı cihaz hatalarıdır. XLab, RustDuck'un TVT (DVR'ler ve kameralar), Ruijie, TP-Link ve ZTE'nin açığa çıkan Android hata ayıklama arayüzlerini ve donanımlarındaki kusurları ve ayrıca interneti hâlâ kirleten birkaç eski, adlandırılmış güvenlik açığını takip ettiğini söylüyor:

Üçüncü yol web yazılımıdır. RustDuck ayrıca, erişimini ucuz ev donanımından açık sunucu yazılımına kadar genişleten ThinkPHP, Jenkins ve Hadoop YARN'daki bilinen açıkları da hedef alıyor.

XLab, kötü amaçlı yazılımı yayan 20'den fazla internet adresi saydı ve en yoğun olanı 176.65.139[.]204'tü.

Bunu zorlaştıran şey nedir

RustDuck iki aşamada kurulur: Daha ağır bir çekirdek modülün şifresini çözen ve paketini açan küçük bir yükleyici. Bu çekirdek, ilginç mühendisliğin yaşadığı yerdir ve Rust'ta yeniden yazılan kısımdır.

Rust ikili dosyalarının analizi, analistler için genellikle kötü amaçlı yazılımları yıllarca çalıştıran C'den daha zordur ve XLab, RustDuck'ın Rust çekirdeğinin, anahtarlarını nasıl elde ettiği, analizden nasıl gizlediği ve sunucularıyla nasıl konuştuğu konusunda gerçek derinliği gösterdiğini söylüyor. Geçiş, sızdırılan kodun hızlı bir şekilde yeniden yapılandırılmasına değil, aktif geliştirmeye işaret ediyor.

Daha da önemlisi, yeni örneklerin gizli kalmak için ne kadar çabaladığıdır. Herhangi bir şey yapmadan önce RustDuck, cihazın gerçek bir kurbanın cihazı yerine bir güvenlik araştırmacısının laboratuvarına düşüp düşmediğine karar vermek için bir kontrol listesi çalıştırıyor. Wireshark ve gdb gibi analiz araçlarını, kendi sürecine bağlı hata ayıklayıcıları, bal küpü tuzağının parmak izlerini ve hatta sanal makine donanımını arar.

Her vuruş risk puanına puan ekler. Bir eşiği geçtiğinizde, kötü amaçlı yazılım izlerini siler ve kimse onun çalışmasını izleyemeden sonlanır.

Bu çeklerden ikisi öne çıkıyor. Test için ayrılmış ve asla yanıt vermemesi gereken bir internet adresine sessizce ulaşmaya çalışılıyor; Bir şey yanıt verirse RustDuck, bunun kötü amaçlı yazılımları kandırmak için oluşturulmuş sahte bir ağ içinde olduğunu bilir ve onu kurtarır.

Bir diğeri, kötü amaçlı yazılımların elini göstermesi için zamanı hızlandıran sanal alanları yakalamak amacıyla iki saati karşılaştırıyor.

İletişimleri eşleşecek şekilde kilitlendi. RustDuck trafiğini modern şifrelerle şifreliyor: El sıkışma için ChaCha20-Poly1305, komutları alırken AES-GCM. Anahtarlarını HKDF-SHA256 ve Curve25519 değişimiyle türetiyor, bunları her on dakikada bir döndürüyor ve bağlantıyı sıradan şifreli web trafiği gibi görünecek şekilde giydiriyor, böylece uyum sağlıyor.

Bir cihaz kontrol edildiğinde, operatörler kısa bir emir listesi gönderebilir: bir saldırı başlatın, durdurun, durumu bildirin, yeni kontrol sunucularına geçin veya kötü amaçlı yazılımı sessizce daha yeni bir yapıya yükseltin. Kontrol adresleri, isimdeki "Duck" kelimesinin geldiği duckdns.org gibi ücretsiz dinamik DNS servislerine dayanır.

Bu daha büyük bir kalıba uyuyor

RustDuck, Rust'a ulaşan ilk botnet değil. Nisan 2025'te Fortinet, Totolink ve diğer yönlendiriciler aracılığıyla aynı tarifi kullanarak DDoS saldırıları gerçekleştiren Rust tabanlı bir botnet olan RustoBot'u belgeledi: ucuz yönlendiriciler, modern bir dil ve talep üzerine yoğun trafik.

Ayrıca şuraya da gelir:

DDoS için acımasız bir yıl. Aynı tür botnet'in ölçeği büyütüldüğünde, tarihteki en büyük sel felaketine neden oldu. AISURU ve aralarında üç milyondan fazla ele geçirilmiş cihazın da bulunduğu bir grup ilgili botnet, ABD öncülüğündeki bir operasyon bu baharda altyapılarını çökertmeden önce yaklaşık 30 Tbps hızında saldırılara yol açtı. Bunun yanında RustDuck çok küçük. Endişe, gittiği yöndür.

İkinci kez bakmaya değer bir ayrıntı: RustDuck'ın en yoğun teslimat adresi olan 176.65.139[.]204, 2026 baharında bildirilen ayrı bir ADB hedeflemeli DDoS botnet'in arkasındaki sunucuyla aynı küçük adres bloğunda yer alıyor. Bu bir tesadüf veya paylaşılan kurşun geçirmez barındırma olabilir ve XLab ikisini birbirine bağlamaz, ancak örtüşme kontrol edilmeye değer bir şeydir.

Ne yapmalı

RustDuck'un kendisi için bir yama yok çünkü bu kötü amaçlı bir yazılım, tek bir hata bile değil. Savunma, içinden geçtiği kapıları kapatmak anlamına gelir:

Uzaktan yönetim arayüzlerini genel internetten alın. İhtiyaç duyulmayan durumlarda Android Debug Bridge, Telnet ve SSH'yi kapatın ve bunları asla varsayılan şifrelerle erişilebilir durumda bırakmayın.

Yapabildiklerinizi yamalayın, yapamadıklarınızı değiştirin. CouchDB'nin yükseltilebilecek sabit sürümleri var, ancak bu yönlendiricilerden bazılarının kullanım ömrü sona erdi. D-Link DIR-823X için CISA'nın tavsiyesi, gelmeyen bir yamayı beklemek yerine onu hizmetten çekmektir ve Totolink üreticisi açıklamaya hiçbir zaman yanıt vermemiştir. Desteklenmeyen dişlinin onarılması değil değiştirilmesi gerekir.

Bilinen göstergeleri engelleyin. XLab'ın raporu, kötü amaçlı yazılımın dosya karmalarını, kontrol alanlarını ve kaynak adreslerini listeler; onları izlemenize dahil edin.

RustDuck, ciddi bir botnetin mühendisliğini taşıyan küçük bir botnettir. İster gerçek bir tehdide dönüşsün, ister sönsün, test ettiği teknikler, Rust'un yeniden yazılması ve paranoyak araştırmacılardan saklanma rutini, diğer ekiplerin ödünç alma olasılıklarının en yüksek olduğu parçalardır.

Paylaş: