Stairwell Threat Research’teki güvenlik araştırmacılarının son araştırmalarında tanımladığı gibi, Çin merkezli olduğuna inanılan sofistike bir tehdit aktörü olan ChamelGang, izinsiz girişler için farklı araçlar kullanıyor.
Bunun dışında Stairwell’in Tehdit Araştırması ekibi, grup tarafından Linux izinsiz girişleri için geliştirilen yeni araçlar da buldu.
ChamelDoH, DNS-over-HTTPS (DoH) tünelleme yoluyla iletişimi kolaylaştırdığından ve esas olarak C++ kullanılarak geliştirilen bir implant olduğundan, bunun için en iyi örneklerden biridir.
Çinli Hackerların Hedefleri
Aşağıda listelenen ülkeler, geçmişte enerji, havacılık ve devlet kuruluşlarını hedef alan ChamelGang vakaları yaşamıştır:-
- Rusya
- Birleşik Devletler
- Japonya
- Türkiye
- Tayvan
- Vietnam
- Hindistan
- Afganistan
- Litvanya
- Nepal
Linux Kötü Amaçlı Yazılımları için HTTPS Üzerinden DNS
Positive Technologies, daha önce ChamelGang kampanyalarında karşılaşılan bir etki alanı ve aracı tanımlayarak, ChamelGang ile yakın zamanda keşfedilen Linux kötü amaçlı yazılımı arasındaki ilişkiyi kurdu.
Sisteme uzaktan erişim için, örnek (34c19cedffe0ee86515331f93b130ede89f1773c3d3a2d0e9c7f7db8f6d9a0a7) öncelikle tasarlanmıştır ve büyük bir C++ ikili dosyasıdır.
Örnek, yapılandırılmış komut ve kontrol (C2) altyapısıyla bir iletişim kanalı oluşturmak için DoH tünellemeyi kullanır.
Örnek, iletişimini kodlamak için değiştirilmiş bir base64 alfabesi kullanır ve onu kötü niyetli aktörün kontrolü altındaki bir ad sunucusuna yönlendirilen alt alanlara dönüştürür.
İmplant yürütüldüğünde, keşif verilerini toplamak ve bir JSON nesnesinde derlemek için hemen birkaç sistem çağrısı kullanır.
Aşağıda, yürütüldüğünde ChamelDoH tarafından toplanan tüm ayrıntılardan bahsetmiştik:-
- ana bilgisayar_adı: Sistem ana bilgisayar adı
- ip: 127.0.0.1 olmayan bir arayüz için herhangi bir IP adresi
- sistem tipi: sysname, sistemin utsname yapısından ayrıştırıldı, yani Linux
- sistem_versiyonu: sistemin utsname yapısından ayrıştırılan sürüm,
- yani #43-Ubuntu SMP PREEMPT_DYNAMIC Sal 18 Nis 18:21:28 UTC 2023
- ben kimim: ChamelDoH’un altında çalıştığı kullanıcı bağlamı
- process_pid: ChamelDoH işleminin işlem kimliği
- bit: Sistemin bitliği, yani x86_64
- pwd: ChamelDoH işleminin çalışma dizini
- İD: İmplant kimliği olarak kullanılan, ChamelDoH tarafından oluşturulan sözde rastgele oluşturulmuş bir tamsayı
ChamelDoH, komuta ve kontrol (C2) tekniklerine yönelik özgün yaklaşımıyla kendisini diğerlerinden ayırır.
Bunun yanı sıra, implantın komut ve kontrol (C2) konfigürasyonunu tanımlamak için JSON nesnesinde iki anahtar kullanılır.
Burada örnek aşağıdaki yapılandırmayı içerir: –
Yapılandırmanın yardımıyla implant, DoH isteklerini kullanarak kötü niyetli ad sunucularıyla iletişim kurar.
Komuta ve kontrol (C2) iletişimlerini alt alanlar olarak kodlar ve oluşturduğu etki alanı içinde kodlanmış C2 iletişimleri için TXT isteklerini başlatır.
Yasal trafik için DNS sunucuları olarak yaygın şekilde kullanılmaları nedeniyle, bu DoH sağlayıcılarının kuruluş genelinde engellenmesi zordur.
Trafiğe müdahale etmeden bu istekleri incelemek, HTTPS nedeniyle zorlaşır ve savunucuların DoH aracılığıyla hangi etki alanı isteklerinin yapıldığını belirlemesini zorlaştırır.
Bu, ChamelDoH tarafından kullanılan şifreli iletişimler gibi anormal ağ trafiğini tespit etmede veya engellemede zorluk teşkil eder.
Bu stratejinin sonucu, trafiğin başlangıçta bir içerik dağıtım ağında (CDN) barındırılan yasal bir hizmete yönlendirildiği, etki alanı yönlendirmesi yoluyla C2 iletişimine benzer.
Ancak, isteğin Host başlığı kullanılarak bir C2 sunucusuna yönlendirilir. Bu, bu tekniğin tespitini ve önlenmesini tamamen zorlu görevler haline getirirken.
Gizliliği korumak için ChamelDoH, iletişimini güvence altına almak için AES128 şifrelemesini kullanır. Şifrelenmiş veriler daha sonra base64 biçimine dönüştürülerek bir alt etki alanı olarak eklenmesine olanak tanır.
Yetenekler
İmplant birkaç türde görevi yerine getirebilir ve aşağıda, komutlarıyla birlikte hepsinden bahsetmiştik:-
- koşmak: Bir dosya/kabuk komutu yürütün
- uyumak: Bir sonraki check-in işlemine kadar geçen saniye sayısını ayarlayın
- : Bir URL’den dosya indirin
- yüklemek: Bir dosyayı okuyun ve yükleyin
- indirmek: Bir dosya indirin ve yazın
- : dosya silme
- kopya: Bir dosyayı yeni bir konuma kopyalayın
- CD: Çalışma dizinini değiştir
Ayrıca Stairwell Threat Research ekibi tarafından ChamelDoH ve ChamelGang tarafından kullanılan daha önce tanımlanamayan diğer araçları incelemek için devam eden analizler yürütülmektedir.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin