Bilgisayar korsanları, sunucu ortamlarındaki yaygınlığı nedeniyle sıklıkla Linux fidye yazılımını kullanır. Bu tür fidye yazılımı, kritik verilere sahip kuruluşlardan daha yüksek potansiyel ödemeler sunar.
Cado Güvenlik Laboratuarlarındaki siber güvenlik analistleri, son raporları aldıktan sonra yakın zamanda Confluence sunucularına CVE-2023-22518 aracılığıyla dağıtılan Cerber fidye yazılımının Linux versiyonunu analiz etti.
Kapsamlı Windows sürümünün aksine, Linux sürümü hakkında çok az şey biliniyor.
Üç adet son derece karmaşık, 64 bit UPX paketli C++ ELF yükünden oluşur; bu, tehdit aktörlerinin artık Rust veya Go gibi dilleri tercih etmesi nedeniyle daha eski bir yaklaşımdır.
Teknik Analiz
Neredeyse 8 yaşında olan ve güncelleme alan C++ veri yükleri, Cerber’in 2016 zirvesinden bu yana azalan faaliyetine rağmen orijinal dil ve araç seçeneklerinin devam ettiğini gösteriyor.
Günümüzde nadir olsa da kampanya, dağıtım için popüler Confluence güvenlik açığından yararlanıyor.
Bir saldırganın CVE-2023-22518’i kullanmasının ardından araştırmacılar, ele geçirilen Confluence’ta Cerber fidye yazılımı vakalarını takip etti.
Bu yeni kusur, kod yürütmeyi ve fidye yazılımını kolaylaştıran güvenli olmayan bir yapılandırma geri yükleme uç noktası aracılığıyla, bir tehdit aktörünün yeni bir yönetici hesabı oluşturmasına olanak tanır.
Free Live Webinar.for DIFR/SOC Teams: En İyi 3 KOBİ Siber Saldırı Vektörünün Güvenliğini Sağlama - Buradan Kayıt Olun
Daha yüksek ayrıcalıklı erişim yoluyla geniş bir şifreleme yeteneği riskini vurgulayan fidye yazılımı, varsayılan olarak önemli verileri şifreler ancak “birleşim” kullanıcısının sahip olduğu dosyalarla sınırlıdır.
.webp)
Çoklu Yükler
Üç adet yük vardır ve aşağıda bunlardan bahsettik: –
Birincil Yük
Birincil Cerber yükü, diğer bileşenleri indirmek ve paketini açmak için 45.145.6.112’ye bağlanan, oldukça karmaşık, UPX dolu bir C++ aşamalandırıcıdır.
/var/lock/0init-ld.lo konumunda bir kilit dosyası oluşturur, /tmp/agttydck.bat’a bir “günlük denetleyicisi” (agttydck) çeker, onu argüman olarak /tmp ve ck.log’u geçirerek çalıştırır, sonra getirir ve bırakır /tmp/agttydcb.bat adresindeki şifrelenmiş şifreleyiciyi (agttydcb).
Agttydck tamamlandıktan sonra, /tmp/ck.log mevcutsa aşamalandırıcı kendi kendini siler.
Bilinmeyen bir mekanizma kullanarak agttydcb’nin kodunu kodlanmış dosyadan çözer ve bellekte çalışmaya devam ederken diskte ELF yürütülebilir dosyası olarak üzerine yazar.
Stager’ın amacı, ortamı daha güçlü şifreleme yükü için hazırlamaktır.
Günlük Kontrolü Yükü – Agttydck
Oldukça karmaşık, UPX paketli C++ “günlük denetleyicisi” yükü agttydck, bağımsız değişkenlerinden oluşturulan bir dosya yoluna (örn. /tmp/ck.log) “başarı” yazmaya çalışır.
Dönüş kodu, yazma işleminin başarılı mı yoksa başarısız mı olduğunu gösterir.
Bu muhtemelen sistemin şifreleyicinin düzgün çalışması için fazla kilitli olup olmadığını belirlemek amacıyla dosya yazma izinlerini kontrol eder.
Aşamalandırıcıdan ayrı bir işlemde çalıştırmak aynı zamanda hatalı dosya işlemeye sahip sanal alanları algılamaya çalışabilir ve bu da aşamalandırıcının günlük dosyası oluşturma konusunda uyarılmasını engelleyebilir.
Genel olarak agttydck, son şifrelenmiş veriyi dağıtmadan önce basit bir izin ve potansiyel korumalı alan kontrol mekanizması görevi görür.
Şifreleyici – Agttydck
Kendi kendini silen, potansiyel hata ayıklama günlük dosyaları (/tmp/log.0 ve /tmp/log.1) oluşturan, ardından bir şifreleme iş parçacığı oluşturan, yüksek düzeyde UPX paketli bir C++ yükü, temel agttydcb şifreleyicidir.
Açmadan, okumadan, bellekte şifrelemeden ve şifrelenmiş veriler artı .L0CK3D uzantısıyla her dosyanın içeriğinin üzerine yazmadan önce, fidye notlarını yazılabilir dizinlere bırakmak için kök dizinden geçer.
.webp)
Cerber, eskimiş olmasına rağmen hala nispeten gelişmiş bir fidye yazılımıdır.
Çok sayıda potansiyel olarak yüksek değerli sisteme sızmak için Confluence güvenlik açığından yararlanma kapasitesine sahiptir.
Ancak şifreleyebildiği verilerin genellikle yalnızca birleşme verileriyle sınırlı olduğuna dikkat edilmelidir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.