Siber güvenlik araştırmacıları, büyük dil modeli (LLM) yardımıyla geliştirildiği tespit edilen yeni bir Nesnelerin İnterneti (IoT) botnet çerçevesi olan TuxBot v3 Evolution'ı gün ışığına çıkardı. Palo Alto Networks Unit 42 ekibinin yaptığı analize göre, botnet kodu yapay zeka tarafından üretilmiş olsa da, geliştirici tarafından kaldırılması gereken bir güvenlik uyarısı (disclaimer) kod içinde bırakılmış durumda. Bu durum, yapay zekanın botnet geliştirmede kullanılmasının potansiyel risklerini ve sınırlamalarını gözler önüne seriyor.
Unit 42 raporunda, 'Yapay zeka, botnet kodu oluşturma talebine uydu ancak geliştiricinin yayınlamadan önce kaldırmayı unuttuğu bir güvenlik uyarısı ekledi. LLM botnet'in inşasında açıkça yardımcı olsa da, analiz edilen örneklerdeki bazı işlevler düzgün çalışmadı' ifadelerine yer verildi. Güvenlik şirketi, manuel bir kod incelemesinin bu hataları çözebileceğini ve kötü amaçlı yazılımın daha gelişmiş sürümlerinin mevcut olabileceğini belirtti.
TuxBot v3 Evolution, birden fazla bileşenden oluşan modüler bir botnet çerçevesi olarak dikkat çekiyor: C tabanlı bot ajanı (ARM, MIPS, x86_64, RISC-V gibi çoklu mimariler için çapraz derlenebiliyor), Go tabanlı komuta ve kontrol (C2) sunucusu (DDoS kiralama panelli), özel bir sömürü sanal makinesi, Docker tabanlı test altyapısı ve otomatik derleme sistemi. Bot ajanı, hedef cihazlara Telnet erişimi için 1.496 kimlik bilgisi çiftiyle kaba kuvvet saldırısı yapabiliyor ve 30'dan fazla IoT cihaz ailesini hedef alan bilinen güvenlik açıklarını kullanabiliyor.
Sistem Güvenliği
C2 sunucusu, üç farklı TCP portu kullanıyor: 1999 (veya 31337) şifreli komut dağıtımı, 2222 SSH üzerinden interaktif kabuk, 9999 ise JSON arayüzü ile programatik erişim sağlıyor. Botnet, başlatıldığında önceden tanımlanmış bir başlatma sırası izliyor: C2 adresini birincil kanal ve beş alternatif mekanizma ile yükleme, anti-debugging ve anti-VM korumaları kurma, süreç adını gizleme, kalıcılık sağlama, DDoS saldırıları başlatma, rakip süreçleri sonlandırma, IRC/HTTP/DNS/P2P üzerinden C2 kanalları oluşturma, Telnet/SSH/HTTP/ADB tarayıcıları çalıştırma, SOCKS5 proxy başlatma ve kripto para madenciliği yer tutucusu yürütme.
Analiz edilen örneklerde, LLM'in zincirleme düşünce (chain-of-thought) akıl yürütmelerinin yorum satırlarında aynen bırakıldığı tespit edildi. Unit 42, 'Bu yorumlar, LLM'in taşıma görevleri üzerinde çalışırken yaptığı içsel akıl yürütmelerdir. Bu akıl yürütmeler, kendi kendine kesintiler, kararlar ve 'kullanıcıya' (LLM'i yönlendiren geliştirici) yapılan atıflarla tamamlanmıştır' açıklamasında bulundu. TuxBot v3 Evolution, geliştirme aşamasında bir botnet olsa da, çalışan temel işlevleri ve yapay zekaya dayanması, özelliklerin hızla entegre edildiğini ve tek bir geliştiricinin çok yönlü bir araç seti oluşturmasına olanak sağladığını gösteriyor.
Sonuç ve Değerlendirme
Unit 42, TuxBot'un Kaitori v3.9 ve AISURU araçlarıyla paylaştığı altyapı nedeniyle, TuxBot operatörünün Keksec ekosisteminin bir parçası olduğu sonucuna vardı. Keksec grubu, birden fazla IoT botnet varyantını paralel olarak çalıştırmasıyla biliniyor. TuxBot, bu portföydeki başka bir varyant olarak görünüyor ve şifreli C2, DGA ve modüler sömürü sistemiyle sıradan bir Mirai çatalının ötesine geçmeyi hedefliyor. Bu keşif, yönlendiricileri, IP kameraları ve güvenliği zayıf sunucuları hedef alan RustDuck ve AryStinger adlı iki başka botnet'in ortaya çıkmasının ardından geldi.
Kaynak: thehackernews.com