Microsoft’taki siber güvenlik araştırmacıları yakın zamanda Linux tabanlı sistemleri ve IoT cihazlarını hedef alan bir saldırı buldu.
İstismarın, etkilenen cihazların kontrolünü ele geçirmek ve yamalı OpenSSH’den yararlanarak üzerlerine kripto madenciliği yapan kötü amaçlı yazılım yüklemek için özel ve açık kaynaklı araçlar kullandığı tespit edildi.
.png
)
Tehdit aktörleri, Güneydoğu Asya’daki bir finans kurumunun alt etki alanıyla bir C2 sunucusu olarak bir suç altyapısından yararlanarak bir arka kapı kullanır.
Madencilik yapmak için, cihaz kaynaklarından yararlanmak için rootkit’ler ve bir IRC botu gibi farklı araçlar kullanır.
Aşağıda, arka kapının gerçekleştirdiği görevlerden bahsetmiştik:-
- Yamalı OpenSSH dağıtır
- SSH kimlik bilgilerini ele geçirir
- yanal hareket eder
- Kötü amaçlı bağlantıları gizler
Bunun dışında, tespit edilmekten kaçınmak için saldırı karmaşıklığı ve kapsamı, saldırganların kararlı çabalarını ortaya koymaktadır.
Bu saldırı, kaba kuvvet kimlik bilgileriyle, internete bakan ve yanlış yapılandırılmış Linux cihazlarındaki tehdit aktörleri tarafından başlatılır.
Bir cihazın güvenliği ihlal edildiğinde, kabuk geçmişini devre dışı bırakırlar ve ardından uzak bir sunucudan güvenliği ihlal edilmiş bir OpenSSH arşivi (openssh-8.0p1.tgz) getirirler.
Eşzamanlı olarak konuşlandırılan arka kapı kabuk betiği ve truva atına tabi tutulmuş OpenSSH ikilisi, kalıcı SSH erişimi için iki genel anahtar ekler.
Bu, güvenliği ihlal edilmiş sistemlerde kötü amaçlı eylemleri gizlemek için bilgi toplama ve Reptile ve Diamorphine LKM rootkit’lerinin yüklenmesini sağlar.
Arka kapı, rakip madencileri ortadan kaldırmaya, iptables kuralları eklemeye ve rakip trafiği engellemek için ‘/etc/hosts’u değiştirmeye yardımcı olur.
Madenci işlemlerini tanımlar ve sonlandırır, dosya erişimini engeller ve yetkili_anahtarlarda tehdit aktörleri tarafından yapılandırılan SSH erişimini kaldırır.
Saldırganlar, bash komutunun yürütülmesi için DDoS yeteneklerine sahip ZiggyStarTux IRC botunu (Kaiten kötü amaçlı yazılımını temel alır) dağıtır. Kalıcılığı sürdürmek için, arka kapı kötü amaçlı yazılımı aşağıdakiler gibi çeşitli teknikler kullanır: –
- Birden çok disk konumunda ikili dosyaları çoğaltır
- Periyodik yürütme için cron işleri kurar
Ayrıca, bir sistem hizmeti olarak ‘ZiggyStarTux’ kaydedilir ve hizmet dosyası aşağıdaki konumda bulunur:-
- /etc/systemd/system/network-check.service
Botlara, trojenleştirilmiş OpenSSH paketi aracılığıyla canlı ana bilgisayarlara ve savunmasız arka kapı sistemlerine kaba kuvvet uygulamak için kabuk betiklerini indirme ve çalıştırma talimatı verildiği tespit edildi.
Bir Microsoft raporuna göre, saldırgan, yanal ağ hareketinden sonra kripto madenciliği için “Linux tabanlı Hiveon OS sistemlerini” hedef alan madencilik kötü amaçlı yazılımını yüklemeyi hedefliyor.
Azaltmalar
Aşağıda, Microsoft’taki güvenlik araştırmacıları tarafından önerilen tüm azaltıcı önlemlerden bahsetmiştik:-
- Cihazların ayarlarının güvenli bir şekilde yapılandırıldığından emin olun.
- Cihazlarınızı düzenli olarak güncelleyerek sağlıklı tuttuğunuzdan emin olun.
- Güvenlik önlemlerini güçlendirmek için sınırlı erişim ayrıcalıklarından yararlanın.
- Optimum performans ve güvenlik için OpenSSH’yi en son sürüme güncellediğinizden emin olun.
- IoT cihazlarınız için eksiksiz ve sağlam bir güvenlik çözümü uygulayın.
- Algılama yetenekleri ve birden fazla etki alanını izleme yeteneği sunan güvenlik çözümlerinden yararlanın.
Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenliğini Sağlayın – Ücretsiz indirin