Yeni Gizli Linux Kötü Amaçlı Yazılım Hedefleme Uç Noktaları Ve IoT Cihazları

AT & T Alien Labs'ta araştırmacılar, Linux sistemlerine gizli bir şekilde bulaşabilen Shikitega adlı yeni bir gizli Linux kötü amaçlı yazılımı keşfettiler. Ek yüklerle, bu Linux kötü amaçlı yazılımının birincil hedefi Linux tabanlı sistemler ve IoT cihazlarıdır.

Kötü amaçlı yazılım, güvenlik açıklarından yararlanmanın yanı sıra, ayrıcalıkları yükseltmek için açıklardan yararlanarak crontab aracılığıyla ana bilgisayara kalıcılık ekler. Daha sonra enfeksiyonun bir sonucu olarak enfekte olmuş bir cihaza bir kripto para madencisi yüklenir.

Shikitega'nın gizli bir kötü amaçlı yazılım olduğu için anti-virüs yazılımı tarafından algılanmaktan kaçması oldukça kolaydır. Bu kötü amaçlı yazılım, algılamadan kaçınmak için polimorfik bir kodlayıcı kullanır, bu da üzerinde herhangi bir statik, imza tabanlı analiz yapılmasının imkansız olduğu anlamına gelir.

Enfeksiyon Zinciri

Bu kötü amaçlı yazılım, ana veya birincil damlalık görevi gören ELF adlı çok küçük bir dosyanın kullanılmasıyla yayılır. Toplamda, toplam boyut yaklaşık 370 bayt iken kod yaklaşık 300 bayt kaplar, bu nedenle program oldukça küçüktür.

Bu noktada, enfeksiyonun ilk kez yayıldığı kesin yöntemi bilmiyoruz. Kötü amaçlı yazılım bulaşma sürecinde, her katmanın hedefe yalnızca birkaç yüz bayt teslim ettiği birden fazla adım vardır.

Bir modülü etkinleştirmek için, basit bir modülü etkinleştirmeli, ardından bir sonraki modüle geçmelisiniz. Dropper dosyası olan ELF dosyasında kodlanmış bir shell kodu vardır.

Kodlama işlemi için Shikata Ga Nai adlı bir katkı geri bildirim kodlayıcısı kullanılır. Verilerin kodunu çözmek için, kötü amaçlı yazılım kodlayıcıyı kullanarak birkaç kod çözme döngüsünden geçer.

Şifreleme (encoder) saplamasını oluşturmak için talimatların dinamik bir şekilde değiştirilmesi ve dinamik bir blok sıralaması kullanılır. Buna ek olarak dinamik bir kayıt seçimi de gerçekleştirilir.

Kötü amaçlı yazılımın C2'si ile iletişim kurmak için şifre çözmeyi takiben bir shell kodu yürütülür. Shell kodunu (komutlar) aldıktan sonra, bellekten ek shell kodu çalıştırmak için kullanılırlar.

"Mettle" olarak bilinen bir Metasploit Meterpreter yükü indirilir ve bu komutlardan biri aracılığıyla yürütülür. Bir ana bilgisayar daha sonra uzaktan kontrol edilebilir ve bir saldırgan tarafından kod yürütülebilir.

Mettle programı, daha küçük bir ELF dosyası getirecek şekilde yapılandırılmıştır ve aşağıdaki güvenlik açıklarından yararlanır:

• CVE-2021-4034 (diğer adıyla PwnKit)
• CVE-2021-3493

Bu kusurların bir sonucu olarak, aşağıdaki istismarlar gerçekleştirilmiştir:

• Ayrıcalıkları yükseltin
• Son aşamanın verisi buradan indirilir
• Bir kripto para madencisini kök olarak dağıtma

Kullanılan Komut Dosyaları

Aşağıda kalıcılık elde etmek için kullanılan tüm komut dosyalarından bahsettik:

• unix.sh: Sistemde "crontab" komutlarının olup olmadığını kontrol edin, yüklemezseniz kurun ve crontab hizmetini başlatın.
• brict.sh: Mevcut kullanıcının kripto madencisini yürütmesi için crontab ekler.
• politrict.sh: Cryptominer'ı çalıştırmak için kök crontab ekler.
• truct.sh: Mevcut kullanıcının cryptominer'ı indirmesi ve C&C'den yapılandırması için crontab ekler.
• restrict.sh: C&C'den kripto madencisi ve yapılandırma indirmek için kök crontab ekler.

Öneriler

Aşağıda siber güvenlik analistleri tarafından önerilen önerilerden bahsettik:

• Yazılımın en son güvenlik yamalarıyla güncellendiğinden emin olun.
• Tüm uç noktalarda EDR yazılımının yanı sıra virüsten koruma yazılımının da yüklü olduğundan emin olun.
• Sunucu dosyalarınızın yedeklendiğinden emin olmak için bir yedekleme sistemi kullanmalısınız.
• Sağlam bir güvenlik stratejisine sahip olduğunuzdan emin olun.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.