NetNut Proxy Ağına Yönelik Ortak Operasyon: 2 Milyon Enfekte Cihazın İzolasyonu

Google liderliğindeki uluslararası operasyonla NetNut proxy ağına saldırı düzenlendi. 2 milyonu aşkın enfekte Android cihazı (akıllı TV'ler, streaming kutuları dahil) devre dışı bırakıldı.

B
Bleeping Computer Tutorials
3 görüntülenme
NetNut Proxy Ağına Yönelik Ortak Operasyon: 2 Milyon Enfekte Cihazın İzolasyonu

Sorun Tanımı

NetNut, dünya genelinde milyonlarca enfekte Android cihazını (akıllı TV'ler, streaming kutuları, IoT cihazları dahil) barındıran ve bunları residential proxy olarak kullanıma sunan bir proxy ağıydı. Bu ağ, siber suçlular tarafından IP adresi gizleme, botnet saldırıları, web scraping ve kötü amaçlı trafik yönlendirme gibi faaliyetlerde yaygın olarak kullanılıyordu. Haziran 2024'te Google liderliğindeki uluslararası bir operasyonla bu ağa müdahale edildi ve 2 milyondan fazla enfekte cihazın proxy hizmetinden kesilmesi sağlandı.

Etkilenen Cihazlar ve Riskler

Enfekte cihazlar arasında:

  • Android tabanlı akıllı TV'ler ve streaming kutuları (Roku, Fire TV, Chromecast vb.)
  • Akıllı telefonlar ve tabletler
  • IoT cihazları (güvenlik kameraları, ev otomasyon sistemleri vb.)

Potansiyel riskler:

  1. Veri sızıntıları: Proxy ağı üzerinden geçen tüm trafik, siber suçlular tarafından izlenebiliyordu.
  2. Bilgi hırsızlığı: Kullanıcıların çevrimiçi faaliyetleri (şifreler, ödeme bilgileri vb.) çalınabiliyordu.
  3. Dağıtılmış Hizmet Reddi (DDoS) saldırıları: Enfekte cihazlar, hedef sistemlere yönelik saldırılarda kullanılabiliyordu.
  4. Yasal sorumluluk: Kullanıcılar, yasa dışı faaliyetlere iştirak etmiş sayılabiliyordu.

Çözüm Adımları

1. Cihazların İzole Edilmesi

NetNut proxy ağına dahil olan cihazların tespit edilmesi ve izole edilmesi gerekmektedir. Aşağıdaki adımlar izlenmelidir:

  1. Cihazların tespiti:

    Enfekte cihazları belirlemek için aşağıdaki komutları kullanabilirsiniz:

    # NetNut proxy sunucularına yapılan bağlantıları kontrol etme (Linux/Unix)
    ss -tulnp | grep -i "netnut"
    
    # Windows'ta NetNut trafiğini izleme
    netstat -ano | findstr "netnut"
    
    İpucu: Eğer cihazınızda NetNut'a ait bir süreç çalışıyorsa, bu genellikle com.netnut.proxy veya benzeri bir adla görünür. Android cihazlarda adb logcat komutu ile de izleme yapılabilir.
  2. Cihazın ağdan izole edilmesi:

    Enfekte cihazın yerel ağdan çıkarılması veya VLAN'lar aracılığıyla ayrılması gerekir. Aşağıdaki yöntemler kullanılabilir:

    # Linux'ta cihazı ağdan çıkarma (IP bazlı)
    sudo iptables -A INPUT -s [ENFEKTE_CIHAZ_IP] -j DROP
    sudo iptables -A OUTPUT -d [ENFEKTE_CIHAZ_IP] -j DROP
    
    # Windows'ta cihazı engelleme (Windows Defender Firewall)
    netsh advfirewall firewall add rule name="NetNut Blok" dir=in action=block remoteip=[ENFEKTE_CIHAZ_IP]
    
    Uyarı: Cihazı ağdan çıkarırken, diğer cihazların da etkilenmemesi için dikkatli olun. Kritik sistemlerde network segmentation (ağ bölümleme) uygulayın.
  3. Proxy hizmetinin devre dışı bırakılması:

    Enfekte cihazlarda çalışan NetNut proxy hizmetini durdurun:

    # Android cihazlarda (root gerekli)
    adb shell
    su
    pm disable-user --user 0 com.netnut.proxy
    
    # Linux/Unix sistemlerde
    sudo systemctl stop netnut-proxy
    sudo systemctl disable netnut-proxy
    

2. Enfekte Cihazların Temizlenmesi

Proxy ağına dahil olan cihazların tamamen temizlenmesi gerekmektedir. Aşağıdaki adımlar izlenmelidir:

  1. Malware taraması:

    Cihazlarda NetNut'a ait zararlı yazılımların bulunup bulunmadığını kontrol edin:

    # Linux/Unix sistemlerde (ClamAV kullanarak)
    sudo apt install clamav clamav-daemon -y
    sudo freshclam
    sudo clamscan -r --bell -i /
    
    # Windows'ta (Windows Defender ile)
    C:\Program Files\Windows Defender\MpCmdRun.exe -Scan -ScanType 2
    
    İpucu: Eğer cihaz Android tabanlıysa, Malwarebytes veya Bitdefender Mobile Security gibi uygulamalar kullanın.
  2. Sistem geri yükleme:

    Enfekte cihazları fabrika ayarlarına sıfırlama en etkili temizleme yöntemidir. Bunun için:

    # Android cihazlarda
    Ayarlar > Sistem > Sıfırla > Tüm verileri sil
    
    # Windows'ta
    Ayarlar > Güncelleştirme ve Güvenlik > Kurtarma > Bu bilgisayarı sıfırla
    
    Uyarı: Sıfırlama işlemi tüm verileri silecektir. Önce önemli verileri yedekleyin.
  3. Güvenlik yamalarının uygulanması:

    Cihazların en son güvenlik yamalarıyla güncellenmesi kritik önem taşır:

    # Android cihazlarda
    Ayarlar > Sistem > Yazılım Güncelleme > İndir ve Yükle
    
    # Linux'ta (örneğin Ubuntu)
    sudo apt update && sudo apt upgrade -y
    
    # Windows'ta
    Ayarlar > Güncelleştirme ve Güvenlik > Windows Update > Güncellemeleri kontrol et
    

3. Ağ Güvenliğinin Sağlanması

NetNut proxy ağına dahil olan cihazların tekrar enfekte olmasını önlemek için ağ güvenliğinin artırılması gerekmektedir. Aşağıdaki adımlar izlenmelidir:

  1. Ağ segmentasyonu:

    Kritik sistemleri diğer cihazlardan ayırın. Bunun için VLAN'lar veya fiziksel ayrım kullanabilirsiniz.

    # Cisco yönlendiricide VLAN oluşturma
    interface Vlan10
     name VLAN_CRITICAL
     ip address 192.168.10.1 255.255.255.0
     no shutdown
    
  2. Proxy ve VPN kullanımının denetlenmesi:

    Ağınızda çalışan proxy sunucuları ve VPN hizmetlerini denetleyin. NetNut'a benzer proxy ağlarının tespiti için SIEM sistemleri (örneğin Splunk, ELK Stack) kullanın.

    # NetNut'a ait IP bloklarını engelleme (Linux'ta)
    sudo iptables -A INPUT -s 185.143.223.0/24 -j DROP
    sudo iptables -A OUTPUT -d 185.143.223.0/24 -j DROP
    
  3. Kullanıcı eğitimi:

    Kullanıcıları güvenlik farkındalığı konusunda eğitin. NetNut gibi proxy ağlarının kötü amaçlı kullanımlarını anlatın ve güvenilir olmayan uygulamaları indirmemeleri konusunda uyarın.

    İpucu: Kurumsal ortamlarda phishing saldırılarına karşı simülasyonlar düzenleyin.

Komutlar ve Araçlar

Aşağıda, NetNut proxy ağına müdahale etmek için kullanabileceğiniz komutlar ve araçlar listelenmiştir:

İşlem Araç/Komut Kullanım Alanı
Proxy trafiği tespiti ss -tulnp | grep -i "netnut" Linux/Unix sistemler
Windows'ta proxy tespiti netstat -ano | findstr "netnut" Windows
Enfekte cihaz engelleme iptables -A INPUT -s [IP] -j DROP Linux/Unix
Windows'ta engelleme netsh advfirewall firewall add rule name="NetNut Blok" dir=in action=block remoteip=[IP] Windows
Malware taraması clamscan -r --bell -i / Linux/Unix
Android'de proxy hizmeti durdurma pm disable-user --user 0 com.netnut.proxy Android (root gerekli)

Sıkça Sorulan Sorular (SSS)

NetNut proxy ağına dahil olup olmadığımı nasıl anlarım?

NetNut proxy ağına dahil olup olmadığınızı aşağıdaki yöntemlerle kontrol edebilirsiniz:

  • Cihazınızda NetNut'a ait bir uygulama çalışıyor mu? (örneğin com.netnut.proxy)
  • Bağlantı kayıtlarınızda NetNut sunucularına yapılan bağlantılar var mı? (örneğin ss -tulnp | grep -i "netnut")
  • Cihazınızın performansında anormal yavaşlama veya beklenmedik veri kullanımı var mı?

NetNut proxy ağına dahil bir cihazı temizledikten sonra nelere dikkat etmeliyim?

Temizleme işleminden sonra aşağıdaki adımları izleyin:

  1. Tüm şifrelerinizi değiştirin (e-posta, bankacılık, sosyal medya vb.).
  2. Cihazınızı en son güvenlik yamalarıyla güncelleyin.
  3. Ağınızda başka enfekte cihazlar olup olmadığını kontrol edin.
  4. Güvenilir olmayan uygulamaları kaldırın ve sadece resmi uygulama mağazalarından yazılım indirin.

Referanslar