Apache2 web sunucularından yararlanmak genellikle uzaktan kod yürütme (RCE) ve yol geçiş kusurları gibi güvenlik açıklarını hedeflemeyi içerir.
Apache yaygın olarak kullanıldığından bu istismarlar, zamanında güncelleme ve güvenlik önlemleri uygulamayan birçok kuruluş için önemli bir risk oluşturmaktadır.
Elastic araştırmacıları yakın zamanda Apache2 web sunucularını istismar ettiği tespit edilen yeni ve karmaşık bir Linux kötü amaçlı yazılımını tespit etti.
Bu gelişmiş Linux kötü amaçlı yazılım kampanyası Mart 2024’te ortaya çıkarıldı ve “Apache2” web sunucusu istismarı yoluyla savunmasız sunucuları hedef aldığı tespit edildi.
Apache2 Web Sunucularını İstismar Eden Linux Kötü Amaçlı Yazılım
Saldırganlar, “KAIJI” (DDoS saldırıları için), “RUDEDEVIL” (kripto para madencisi) ve “özel kötü amaçlı yazılım” dahil olmak üzere karmaşık bir cephanelik kullandı.
Şifreli iletişim için kullanılan bir araç olan “GSOCKET”i kullanarak kalıcılık sağladılar.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Burada, tespitten kaçınmak için bu araç “çekirdek süreçleri” olarak gizlendi. Kampanya, uzaktan operasyonlar için C2 kanallarını, Telegram botlarını ve cron işlerini kullandı.
“Kumar API’lerini” içeren potansiyel bir Bitcoin/XMR madenciliği planı, “kara para aklama” faaliyetlerini önerdi.
Saldırganlar Linux’a özgü çeşitli teknikler kullandı. Ve aşağıda, bu tekniklerden bahsettik: –
- “SELinux politikalarını” manipüle etmek
- Şaşırtma için bağlama bağlarını kullanma.
- Ayrıcalık yükseltme için CVE-2021-4034’ten (“pwnkit”) yararlanılıyor.
Sistem keşfi için “pspy64” kullandılar ve “XOR kodlu” dizelerle özel ikili dosyaları (‘Apache2’ ve ‘Apache2v86’) dağıtmaya çalıştılar, ancak bunlar yürütme sorunlarıyla karşılaştı.
Kötü amaçlı yazılımın gelişmişliği, “Systemd hizmetleri”, “SysVinit komut dosyaları” ve “bash profili değişiklikleri” gibi çoklu kalıcılık mekanizmalarını kullanmasında açıkça görülüyordu.
Kampanya boyunca saldırganlar, “kripto para madenciliği” ve “DDoS” operasyonları için sistem kaynağı kullanımını en üst düzeye çıkarırken, tespit edilmekten kaçınmak için kötü amaçlı yazılımlarını ve taktiklerini sürekli olarak uyarlayarak Linux sistemleri hakkında ileri düzeyde bilgi sahibi olduklarını gösterdi.
Tehdit aktörleri, “whatserver.sh” gibi araçları kullanarak “SSL sertifikalarından” “FQDN’ler” gibi sunucu bilgilerini ve “sistem detayları”nı toplayarak keşif faaliyetlerine başladı.
Ayrıcalıkları root’a yükseltmede başarısız olduktan sonra, “www-data” kullanıcısı olarak kalıcılık sağladılar ve “GSOCKET”i “çekirdek işlemi” olarak gizlenen bir “SSL bağlantısı” için kullandılar.[mm_percpu_wq]”.
Her dakika “ifindyou” adlı bir betiği indirip çalıştırmak için bir ‘cron işi’ kuruyorlar.
Bu komut dosyası, kazılamaz olana bağlanan “XMRIG”i konuşlandırdı[.]com havuzunda “1CSUkd5FZMis5NDauKLDkcpvvgV1zrBCBz” cüzdan adresi için Bitcoin madenciliği yapılacak.
Kötü amaçlı yazılım, bulaştığı makinenin ana bilgisayar adını madencilik sürecinde tanımlayıcı olarak kullandı.
Bunun yanı sıra saldırganlar, “çevrimiçi kumar oyununun demo sürümüyle” etkileşime giren bir “Python betiği” de uyguladılar.
Bu komut dosyası, “kullanıcı kimlik doğrulaması” (“obteneruid”), “veri iletimi” (“enviardatos”), “bahis simülasyonu” (“hacerjugada”) ve “bonus turlarını yönetme” (“completarbono”) işlevlerini içeriyordu.
gcp.pagaelrescate adresindeki uzak sunucuyla iletişim kurmak için “HTTP POST” ve “GET” isteklerini kullandı.[.]com, çünkü bu, insan davranışını taklit etmek için gecikmeler eklerken kumar sürecini otomatikleştirmeye yardımcı olur.
Komut dosyasının bir demo ortamı kullanması, muhtemelen canlı kumar platformlarına yönelik daha gelişmiş saldırılara hazırlık amacıyla yaklaşımlarını test etmek veya geliştirmek için kullanıldığını gösteriyor.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri