OrBit – Algılanmamış Linux Kötü Amaçlı Yazılımları, Linux Sistemlerine Saldırmak İçin Görünmeyen Ele Geçirme Yöntemini Kullanılıyor

Sunucular ve bulut bilişim altyapıları genellikle popüler bir işletim sistemi olan Linux tarafından desteklenmektedir. Ve son zamanlarda Intezer'deki siber güvenlik araştırmacıları tarafından OrBit olarak adlandırılan yeni ve tamamen tespit edilmemiş bir Linux tehdidi keşfedildi.

İhtiyaçlarına bağlı olarak kalıcı bir implant olarak veya uçucu bir implant olarak monte etmek mümkündür. Bilgisayardaki temel işlevleri bağlayarak, kötü amaçlı yazılım gelişmiş kaçınma teknikleri kullanır. Tehdit aktörlerine sağlanan özellikler arasında şunlar yer almaktadır:

• SSH üzerinden uzaktan erişim özellikleri
• Kimlik bilgilerini toplar
• TTY komutlarını günlüğe kaydeder

Bu, başlatılan yeni işlemler de dahil olmak üzere makinede çalışan tüm işlemlerin, yüklendikten sonra kötü amaçlı yazılım tarafından enfekte edileceği noktadır.

Teknik Analiz

Bu kötü amaçlı yazılımın, LD_PRELOAD ortam değişkenini değiştirerek paylaşılan kitaplıkları ele geçiren diğer tehditlerin aksine, kötü amaçlı kitaplığı yüklemesinin iki yolu vardır.

Aşağıda bu iki yoldan bahsettik:

• İlk yol olarak, paylaşılan nesne yapılandırma dosyasına eklenebilir.
• İkincisi ise, kötü amaçlı paylaşılan nesneyi yüklemek için yükleyicinin ikili dosyasına yama uygulayabiliriz.

Yüklemenin ardından, dropper, kötü amaçlı yazılımın çalışması için ortamı oluşturur ve yükü ortama yükler. Komut satırında sağlanan argümanlara dayanarak, yükü yukarıda belirtilen konuma göre tercih edilen konuma çıkarır.

Rapora göre, yükleme yolunu komut satırı bağımsız değişkenleriyle değiştirmek ve komut satırı bağımsız değişkenlerini kullanarak yükü tamamen güncelleştirmek veya kaldırmak mümkündür.

Gizli Kötü Amaçlı Yazılım

BPFDoor, Symbiote ve Syslogk'tan sonra, OrBit'in son üç ay içinde kısa sürede ortaya çıkan dördüncü Linux kötü amaçlı yazılımı olduğu biliniyor.

Symbiote gibi, kötü amaçlı yazılım da yayılmak için güvenliği ihlal edilmiş makinede çalışan tüm işlemleri hedefler. Yük dosyasını ("libdl.so") sunucudan ayıklamak amacıyla saldırı zincirini başlatmak için bir ELF damlalık dosyası kullanılır.

OrBit'in hiç fark edilmeden çalışabilmesini sağlayan birkaç gizli yöntem kullandığını da belirtmek önemlidir. Sonuç olarak, bu yöntemler, kalıcılığı sağlama ve virüsün virüslü bilgisayarlardan çıkarılmasını oldukça zorlaştırma yeteneğine sahiptir.

Bu kötü amaçlı yazılımla ilgili özellikle ilginç bir şey var, çünkü saldırdığı makinede neredeyse hermetik olarak kütüphanelere bağlanıyor.

Sonuç olarak, kötü amaçlı yazılım kalıcı olabilir, algılamadan kaçınabilir ve bilgi çalabilir, ayrıca süreçte SSH protokolü için bir arka kapı oluşturabilir.

Güvenlik araçları, Linux'u hedef alan gelişen tehditlere ayak uydurmakta başarısız olurken, aynı zamanda Linux'u hedef alan tehditlerin radarı altında kalmaktadır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.