RustDuck: Hala Küçük Ama Mühendislik Gibi Büyümeyi Planlayan Botnet Dünya Geneli

RustDuck: Hala Küçük Ama Mühendislik Gibi Büyümeyi Planlayan Botnet

RustDuck: Hala Küçük Ama Mühendislik Gibi Büyümeyi Planlayan Botnet Pierluigi Paganini 01 Temmuz 2026 01 Temmuz 2026 RustDuck, Rust'a geçiş yapan kü...

RustDuck: Hala Küçük Ama Mühendislik Gibi Büyümeyi Planlayan Botnet

Pierluigi Paganini 01 Temmuz 2026 01 Temmuz 2026

RustDuck, Rust'a geçiş yapan küçük, gelişen bir DDoS botnet'idir. Gelişmiş şifreleme, anti-analiz kaçakçılığı kullanır ve bilinen Nesnelerin İnterneti kusurlarından yararlanır.

Şubat 2026'dan bu yana, QiAnXin XLab'daki araştırmacılar, yönlendiricileri, kameraları, Android set üstü kutularını ve açığa çıkan sunucuları ele geçiren ve ardından bunları, çevrimdışı hale gelene kadar hedefleri gereksiz trafikle doldurmak için kullanan RustDuck adlı yeni bir kötü amaçlı yazılım ailesini izliyor. Şu anda piyasadaki en büyük DDoS botnet'i değil ve bu neredeyse konumuzun dışında.

"XLab'ın bunu işaretlemesinin nedeni, değişim hızıdır. Kod tabanı aktif olarak C'den Rust'a geçiş yapıyor ve her yeni değişken, anlamlı derecede daha karmaşık şifreleme, kaçırma ve iletişim tasarımı getiriyor." XLab tarafından yayınlanan raporu okuyor.

"Ailenin mevcut aktivite düzeyi ve DDoS saldırılarındaki etkisi henüz bazı ana akım botnet'lerle karşılaştırılabilecek düzeyde olmasa da, teknolojik evrim hızı ciddi bir ilgiyi hak ediyor. Araştırmalar, ailenin C'den Rust'a kapsamlı bir teknolojik geçiş sürecinden geçtiğini ve anti-savunma ve trafik şifreleme tekniklerinin de hızla yenilendiğini ortaya çıkardı."

RustDuck tek bir giriş noktasına bağlı değildir. Telnet ve SSH arayüzlerindeki zayıf ve varsayılan şifreleri, bilinen cihaz güvenlik açıklarının geniş bir listesiyle birleştirir. Hedeflenen donanımlar arasında Android ADB arayüzleri, TVT'nin DVR'leri ve kameraları ile Ruijie, TP-Link ve ZTE'nin ağ donanımları yer alıyor. Yazılım tarafında, erişimini ucuz ev donanımından sunucu ortamlarına taşıyan ThinkPHP kurulumlarını, Jenkins sunucularını ve Hadoop YARN uç noktalarını hedef alıyor.

Cephaneliğindeki adı geçen CVE'ler yakın geçmişten antik döneme kadar uzanmaktadır. CVE-2025-29635, CISA'nın Nisan 2026'da Bilinen Açıklardan Yararlanan Güvenlik Açıkları listesine eklediği, durdurulan D-Link DIR-823X yönlendiricilerindeki bir komut ekleme hatasıdır. CVE-2017-17215, Mirai varyantlarının dokuz yıl önce zaten kötüye kullandığı, Huawei HG532 yönlendiricilerindeki bir uzaktan kod yürütme hatasıdır. CVE-2024-1781, üreticisinin açıklamaya hiçbir zaman yanıt vermediği Totolink X6000R yönlendiricilerini etkiliyor. CVE-2018-8007, Apache CouchDB'de kimliği doğrulanmış bir yönetici kodu yürütme yolunu hedefliyor. XLab, en aktif dağıtım kaynağı olan 176.65.139[.]204 ile 20'den fazla IP adresinin botnet'i aktif olarak yaydığını gözlemledi.

XLab araştırmacıları RustDuck'un kendisini iki aşamada kurduğunu bildirdi. Önce bir yükleyici gelir, sıkıştırılmış yükün şifresini çözer ve yürütmeyi daha ağır bir çekirdek modüle aktarır. Yükleyicinin kendisi, her biri farklı bir şifreleme şemasına sahip olan dört belgelenmiş varyanttan geçmiştir: ilki, XOR ve LZ4 sıkıştırmalı bir Doğrusal Uyumlu Oluşturucu kullanmıştır; ikincisi, toplu şifre çözmeyi neredeyse imkansız hale getirmek için tasarlanmış sabit kodlu sabitlerle Xoshiro128'e yükseltildi; üçüncüsü sabit bir sihirli dizeyle standart XOR'a geri döndü; dördüncüsü akış şifresi olarak ChaCha20'yi tanıttı. İlerleme rastgele değildir. Her adım, tespite yanıt veren yazarları yansıtır.

Çekirdek modül, Rust'un yeniden yazıldığı yerdir ve Rust ikili dosyalarının analiz edilmesi, yıllardır cihazdaki kötü amaçlı yazılımlara güç veren C'den gerçekten daha zordur. Bu küçük bir operasyonel detay değil. Bu, yeni örneklerin, analistlerin Mirai'den bu yana IoT kötü amaçlı yazılımları için kullandıkları standart araç setine direndiği anlamına geliyor.

RustDuck görünür bir şey yapmadan önce, çekirdek modül, gerçek bir kurban cihazında mı yoksa bir araştırmacının laboratuvarında mı olduğuna karar vermek için ağırlıklı bir puanlama sistemi çalıştırıyor. Tespit edilen her durum, risk puanına puan ekler. Eşiğe ulaştığınızda, kötü amaçlı yazılım izlerini siler ve temiz bir şekilde çıkar.

"Otomatik sanal alan analizini ve tersine mühendisler tarafından yapılan dinamik hata ayıklamayı engellemek için Core modülü, dinamik bir ağırlık puanlama mekanizması içerir. Çalışma süresi boyunca yazılım, çeşitli ortam kontrollerini yineler." rapora devam ediyor. "Birikmiş risk puanı önceden belirlenmiş bir eşiği aştığında program otomatik olarak

izleri ve çıkışları var.”

Her biri 100 puan değerindeki en yüksek ağırlıklı kontroller, Wireshark, gdb ve Frida gibi araçlar için süreç listesini tarar, ekli bir hata ayıklayıcıyı tespit etmek için /proc/self/status okur ve kötü amaçlı yazılımın kendi dosyasına eklenen bir SHA256 sağlama toplamını doğrular, böylece herhangi birinin onu değiştirip değiştirmediğini veya kesme noktaları ekleyip eklemediğini bilir. 50 puanlık bir kontrol, standart sistem yollarında Cowrie ve Dionaea'dan gelen bal küpü yapılandırma dosyalarını arar. 35 puan değerindeki bir başkası, gerçek bir ağda asla yanıt vermemesi gereken, test için ayrılmış bir IP adresi olan 192.0.2.1'e eşzamansız bağlantı girişiminde bulunur. Yanıt verirse kötü amaçlı yazılım, kendisini kandırmak için oluşturulmuş sahte bir ortamda olduğunu anlar ve ayrılır.

Zamanlama kontrolü özellikle iyi yapılandırılmıştır. Kasıtlı olarak yarım saniyelik bir uykudan önce ve sonra iki bağımsız saati örnekliyor ve ardından farkı karşılaştırıyor. Kötü amaçlı yazılımın davranışı boyunca acele etme süresini hızlandıran bir sanal alan veya yürütmeyi bir kesme noktasında duraklatan bir hata ayıklayıcı, bu karşılaştırmada bir anormallik gösterecektir. Her iki koşul da bir çıkışı tetikler.

Kötü amaçlı yazılım, ortamın orijinal olduğuna karar verdiğinde, komuta ve kontrol altyapısıyla yapılandırılmış iki aşamalı bir bağlantı başlatır. El sıkışma aşamasında ChaCha20-Poly1305 şifrelemesi ve Curve25519 anahtar değişimi kullanılır ve oturum anahtarları HKDF-SHA256 aracılığıyla türetilir. Anahtar her on dakikada bir döner. El sıkışma tamamlandıktan sonra oturum, sunucuya giden trafik ve aşağı inen komutlar için ayrı anahtarlarla AES-GCM'ye geçer; bu, bir anahtarı yakalamanın size konuşmanın her iki yönünü de sağladığı varsayımını yıkan bir tasarımdır.

Komut döngüsü trafiği, standart TLS kayıtlarının yapısını taklit eden üç baytlık bir başlık ekler ve bu, trafiğin ağ katmanında normal şifrelenmiş web trafiğine karışmasına yardımcı olur.

"Yeni varyantın ağ iletişim protokolü, Gürültü protokolü çerçevesinin IK modeline derinden gönderme yapıyor. İstemcinin sabit kodlanmış sunucu statik genel anahtarına ve ECDH için çalışma zamanında oluşturulan geçici genel anahtara dayanarak oturum anahtarları türetilir. Ek olarak protokol, tüm aşamalarda mesaj dizisi doğrulaması için kullanılan ve yeni anahtarların sürekli oluşturulmasına katılan küresel bir MsgID'yi tanıtıyor." rapora devam ediyor. "Bu tasarım, ağ tarafındaki trafiğin şifresini düz metin anahtarları kullanarak çözme olasılığını ortadan kaldırıyor."

C2 alanları, ücretsiz dinamik DNS hizmetlerine, özellikle de ismin geldiği yer olan duckdns.org'a dayanır.

Bir cihaz başarılı bir şekilde kontrol edildiğinde, operatörün kullanabileceği beş komut vardır: çeşitli sel türlerinde bir DDoS saldırısı başlatmak, aktif bir saldırıyı durdurmak, cihazın mevcut durumunu ve kaynak kullanımını almak, kötü amaçlı yazılımı daha yeni bir yapıya yükseltmek ve yeni C2 altyapısını dinamik olarak zorlamak. Bu sonuncusu önemlidir çünkü bu, operatörün, virüslü cihazı kaybetmeden, engellenen bir alandan ayrılabileceği anlamına gelir.

RustDuck, Rust'u tespit eden ilk botnet değil. Fortinet, Nisan 2025'te, yapısal olarak benzer bir taktik kullanarak Totolink ve diğer yönlendiriciler aracılığıyla yayılan Rust tabanlı bir DDoS botnet'i olan RustoBot'u belgeledi. Bu yıl daha geniş DDoS ortamı acımasızdı: AISURU ve ilgili botnet'ler, ele geçirilen üç milyondan fazla cihazı birleştirerek, bu baharda ABD liderliğindeki bir kaldırma işleminden önce 30 Tbps'ye yaklaşan saldırılara yol açtı. Bu ölçeğin yanında RustDuck şu anda küçük.

Kesin bir sonuca varmadan bir ayrıntı XLab işaretliyor: en aktif dağıtım IP'si olan 176.65.139[.]204, 2026'nın başlarında bildirilen ayrı bir ADB hedefleme DDoS botnet'ine bağlı altyapıyla aynı küçük adres bloğunda yer alıyor. Paylaşılan kurşun geçirmez barındırma makul bir açıklamadır. Her iki durumda da dikkate değer.

RustDuck için tek bir yama yok çünkü tek bir güvenlik açığı yok. Giriş noktalarının kapatılması, uzaktan yönetim arayüzlerinin genel internetten tamamen çıkarılması, ihtiyaç duyulmayan durumlarda Android Hata Ayıklama Köprüsü'nün devre dışı bırakılması ve Telnet veya SSH'nin hiçbir zaman varsayılan kimlik bilgileriyle erişilebilir halde bırakılmaması anlamına gelir. CouchDB'nin yamalanmış sürümleri mevcut

kanama. D-Link DIR-823X bunu yapmaz ve CISA'nın rehberliği onu hizmetten çekmektir. Totolink yapımcısı açıklamaya hiçbir zaman yanıt vermedi. Kullanım ömrü sona eren dişlilerin değiştirilmesi değil, değiştirilmesi gerekir.

XLab'ın tam raporu, yükleyici SHA1 karmalarını, bilinen C2 alanlarını ve etkin teslimat adreslerini içerir. Bir sonraki değişken mevcut göstergeleri bayatlamadan önce bunları şimdi izlemenize ekleyin.

Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon

Pierluigi Paganini

(SecurityAffairs – bilgisayar korsanlığı, haber bülteni)

Paylaş: