“Outlaw” olarak bilinen kalıcı bir Linux kötü amaçlı yazılım, uzun süredir devam eden bir botnet korumak için sofistike olmayan ancak etkili tekniklerden yararlanan tanımlanmıştır.
İleri kaçakçılık mekanizmalarının olmamasına rağmen, Outlaw, SSH kaba zorlama, CRON tabanlı kalıcılık ve değiştirilmiş kripto para madencileri kullanarak faaliyetlerini yaymaya ve para kazanmaya devam ediyor.
Modüler tasarımı ve solucan benzeri yayılması, sistemleri minimal saldırgan müdahalesi ile enfekte etmesine izin verir.
Araştırmacılar, Outlaw’ın davranışını analiz etmek için savunmasız sistemleri taklit eden balpotları kullandılar.
Sonuçlar, komut yürütme ve ara sıra tipografik hatalar da dahil olmak üzere otomatik ve manuel etkileşimlerin bir karışımını ortaya çıkardı, bu da BOTNET’in korunmasında doğrudan insan katılımını gösterdi.
Enfeksiyon zinciri ve yayılma
Outlaw, yapılandırılmış çok aşamalı bir enfeksiyon sürecini takip eder:
- İlk Erişim: Kötü amaçlı yazılım, zayıf veya varsayılan kimlik bilgilerine sahip SSH kaba zorlama, hedefleme sistemlerinden giriş kazanır. “Blitz” adı verilen bir bileşen, bir komut ve kontrol (C2) sunucusundan hedef listeleri alarak bu kaba kuvvet saldırılarını işler.
- Yük dağıtım: Erişim kazanıldıktan sonra, kötü amaçlı yazılım komut dosyaları ve ikili dosyalar içeren bir paketi indirir ve yürütür. Birincil Deldirici Komut Dosyası, tddwrt7s.shbileşenleri gizli dizinlere dağıtarak enfeksiyon zincirini başlatır.
- Kalıcılık mekanizmaları: Outlaw, Cron işleri ve SSH anahtar manipülasyonu yoluyla kalıcılık oluşturur. Kurcalamayı önlemek için yapılandırma dosyalarını kilitlerken saldırgan kontrollü SSH tuşlarını tehlikeye atılmış sistemlere enjekte eder.
- Yayılma: Kötü amaçlı yazılım, enfekte edilmiş ana bilgisayarlardan ek SSH kaba kuvvet saldırıları başlatarak yerel alt ağlara yanal olarak yayılan bir solucan görevi görür. Bu kendini kopyalama, botnet’in hızlı bir şekilde genişlemesini sağlar.
Kötü amaçlı yazılım bileşenleri
Outlaw, operasyonlarını sürdürmek için birkaç bileşen kullanır:
- Xmig Madenleri: XMRIG kripto para madencisinin değiştirilmiş bir versiyonu Monero madenciliği için gömülüdür. Büyük sayfaları etkinleştirerek ve çekirdek parametrelerini değiştirerek CPU performansını optimize eder.
- Gizli Shellbot: Bu IRC tabanlı arka kapı, enfekte sistemlerin uzaktan kumandasını kolaylaştırır ve saldırganların komutları yürütmesine veya ek yükler dağıtmasına izin verir.
- Brute-Forcer Blitz: SSH kaba zorlama ve kötü amaçlı yazılım dağıtımını otomatikleştiren özel yapım bir araç. C2 sunucusundan hedef kimlik bilgilerini alır ve kötü amaçlı paketleri doğrudan enfekte olmuş bir ana bilgisayardan diğerine aktarır.
- KSWAPD01 ve KSWAPD0: Bu ikili dosyalar, madencilik süreçlerini yönetirken C2 altyapısı ile sürekli iletişim sağlar.
Rapora göre, Outlaw’ın tasarımının sadeliği etkinliğine inanıyor.
Halka açık araçlara ve basit tekniklere dayanarak, geleneksel güvenlik önlemlerinin algılanmasını önler.
Bununla birlikte, SSH kaba zorlama, CRON istihdam yaratma ve madencilik optimizasyonu gibi öngörülebilir davranışı, savunuculara SIEM kuralları ve uç nokta izleme yoluyla tespit fırsatları sunar.
Honeypot deneylerinden dikkate değer bir bulgu, saldırganlar tarafından ara sıra manuel etkileşim oldu ve başarılı enfeksiyonlar sağlamak için periyodik kalite kontrolleri önerdi.
Outlaw, ilkel kötü amaçlı yazılımın bile kalıcılık ve agresif yayılma taktikleri yoluyla uzun vadeli botnet operasyonlarını nasıl sürdürebileceğini göstermektedir.
Temel tekniklere güvenmesi, zayıf kimlik bilgilerini devre dışı bırakmak ve olağandışı SSH aktivitesi için izleme gibi sağlam sistem konfigürasyonlarının öneminin altını çizmektedir.
Outlaw’ın yöntemlerini anlayarak, güvenlik ekipleri Linux ortamları üzerindeki etkisini azaltmak için hedeflenen algılama stratejileri geliştirebilir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!