Kabuk komut dosyası derleyicisi (shc) kullanılarak geliştirilen yeni bir Linux kötü amaçlı yazılımının, güvenliği ihlal edilmiş sistemlerde bir kripto para madencisi kullandığı gözlemlendi.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) bugün yayınladığı bir raporda, “Yetersiz yönetilen Linux SSH sunucularına yapılan sözlük saldırısı yoluyla başarılı bir kimlik doğrulamanın ardından, hedef sisteme çeşitli kötü amaçlı yazılımların yüklendiği varsayılıyor.”
shc, kabuk betiklerinin doğrudan ikili dosyalara dönüştürülmesine izin vererek yetkisiz kaynak kodu değişikliklerine karşı koruma sağlar. Herhangi bir toplu iş dosyasını yürütülebilir bir dosyaya dönüştürmek için kullanılan Windows’taki BAT2EXE yardımcı programına benzer.
Güney Koreli siber güvenlik firması tarafından detaylandırılan bir saldırı zincirinde, SSH sunucusunun başarılı bir şekilde ele geçirilmesi, bir shc indirici kötü amaçlı yazılım ile Perl tabanlı bir DDoS IRC Botunun konuşlandırılmasına yol açar.
Shc indiricisi daha sonra, dağıtılmış hizmet reddi (DDoS) saldırılarını monte etmek için komutları almak üzere uzak bir sunucuyla bağlantı kurabilen IRC botu ile kripto para madenciliği yapmak için XMRig madenci yazılımını getirmeye devam eder.
ASEC araştırmacıları, “Bu bot yalnızca TCP taşması, UDP taşması ve HTTP taşması gibi DDoS saldırılarını değil, aynı zamanda komut yürütme, ters kabuk, bağlantı noktası tarama ve günlük silme gibi çeşitli diğer özellikleri de destekliyor” dedi.
Tüm shc indirici eserlerinin Güney Kore’den VirusTotal’a yüklenmiş olması, kampanyanın esas olarak ülkedeki zayıf güvenlikli Linux SSH sunucularına odaklandığını gösteriyor.
Kullanıcıların, kaba kuvvet girişimlerini ve sözlük saldırılarını önlemek için parola hijyenine uyması ve parolaları düzenli aralıklarla değiştirmesi önerilir. Ayrıca işletim sistemlerini güncel tutmanız önerilir.