Linux tabanlı sistemleri ve IoT cihazlarını hedef alan cryptojacking bilgisayar korsanlarının artan önemi, son zamanlarda not edildi. Microsoft tarafından yayınlanan blog yazısı. Rapor, bunların nasıl aktörler açık kaynak araçlarından yararlanır ve cryptojacking saldırılarını gerçekleştirmek için OpenSSH’nin değiştirilmiş bir sürümünü kullanır.
Blog gönderisine göre, bu cryptojacking saldırıları, yaygın olarak kullanılan bir uzaktan yönetim protokolü olan OpenSSH’nin kötü amaçlı bir sürümünden yararlanıyor.
Ayrıca, kripto madenciliği işlemleri için cihaz kaynaklarını ele geçirmek için rootkit’ler ve bir IRC botu dahil olmak üzere çeşitli araçları dağıtan bir arka kapı kullanıyorlar.
Cryptocurrency madenciliği, kripto korsanları tarafından tercih edilir ve Monero, çeşitli cihazlarda madencilik kolaylığı nedeniyle popüler bir seçimdir.
Cryptojacking kötü amaçlı yazılımı, maksimum etki için genellikle fidye yazılımıyla birleştirilir. Saldırılar, virüslü bağlantılar veya ekler, indirme kripto hırsızlığı ve fidye yazılımı programları yoluyla gerçekleşebilir.
Alternatif olarak, ziyaretçilerin tarayıcılarında otomatik olarak çalışacak şekilde web sitelerine veya reklamlara küçük bir madencilik kodu parçası yerleştirilebilir. Bulut tabanlı saldırılar, kimlik bilgilerinin çalınmasını ve bulut ortamlarına komut dosyalarının yüklenmesini içerir.
Dikkate değer örnekler arasında CoinHive, EternalBlue kullanan WannaMine v4.0, BadShell gibi dosyasız kötü amaçlı yazılım, sosyal mühendislik tabanlı Facexworm ve açığa çıkan Docker arka plan programı API’leri aracılığıyla AWS müşterilerini hedefleyen Black-T sayılabilir.
Microsoft tarafından ortaya çıkarılan Cryptojacking serisi
Rapora göre, cryptojacking bilgisayar korsanları, bir Güneydoğu Asya finans kurumuna ait bir alt etki alanını komuta ve kontrol (C2) sunucusu olarak kullanmak da dahil olmak üzere, köklü bir suç altyapısından yararlanıyordu.
Cryptojacking bilgisayar korsanları daha sonra “yanlış yapılandırılmış internet erişimi” olan Linux makinelerini hedefler ve oturum açma kimlik bilgilerini çalmak için kaba kuvvet teknikleri kullanır.
Tehdit aktörü cihaza bulaştığında, bilgisayar korsanları kabuk geçmişini devre dışı bırakır. Bu, tehdit aktörüne uzak bir sunucudan ele geçirilmiş bir OpenSSH paketi verir.
Güvenliği ihlal edilmiş OpenSSH paketi ayrıca bir OpenSSH kaynak kodu, arka kapı ikili dosyaları, bir kabuk betiği ve arka kapının çalışması için gerekli gömülü dosyaları içeren bir arşivden oluşur.
Yükleme sırasında, kabuk komut dosyası, hedef aygıtın mimarisini belirleyerek ve karşılık gelen arka kapı ikilisini çalıştırarak çok önemli bir görevi yerine getirir. Bu özel arka kapı, Shell Komut Dosyası Derleyicisi (sh) adlı açık kaynaklı bir araç kullanılarak bir kabuk komut dosyasının derlenmesinden kaynaklanır.
Cryptojacking bilgisayar korsanlarının işleyiş biçimlerinin teknik analizi
Microsoft araştırmacılarına göre, cryptojacking bilgisayar korsanlarının kullandığı süreçte üç büyük gelişme yaşandı.
Buna, Diamorphine ve Reptile adlı iki GitHub açık kaynak rootkit’i indiren, birleştiren ve kuran tehdit aktörü dahildir.
Bu rootkit’lerin birincil amacı, arka kapı çocuk işlemlerini, dosyalarını ve içeriklerini gizlemek ve C2 alanıyla bağlantı kurmaktır.
Arka kapı, “yetkili_anahtarlar” yapılandırma dosyasına her kullanıcı için benzersiz olan iki ortak anahtar ekler. Varlığını daha da gizlemek için arka kapı, komut dosyasına parametre olarak sağlanan IP ve kullanıcı adını içeren sistem günlüklerinden birden çok girişi kaldırır.
Arka kapı, akıllı taktikleri aracılığıyla cihaz kaynaklarını kontrol eder ve rakip kripto madencilerine bağlı önceden belirlenmiş ana bilgisayar ve IP’lerle iletişimi bozar.
Bu stratejik hamle, rekabetin ortadan kalkmasıyla sonuçlanır. Bunu, belirtilen ana bilgisayarlar ve IP’lerle iletişimi engelleyen iptables kurallarını uygulayarak gerçekleştirir.
Ayrıca yapılandırmayı değiştirir ve ana bilgisayarları etkin bir şekilde izole ederek yerel ana bilgisayar adresine yönlendirir.
Arka kapı aynı zamanda madenci işlemlerine ve dosyalarına erişimi tanımlayıp sonlandırır veya bloke ederek rakip rakiplerin operasyonlarını daha da engeller.
Ek bir önlem olarak, diğer saldırganlar tarafından “yetkili anahtarlarda” yapılandırılan mevcut SSH erişimini ortadan kaldırarak güvenliği ihlal edilmiş sistem üzerinde özel kontrol sağlar.
OpenSSH’ye yönelik sofistike bir saldırı yoluyla, cryptojacking bilgisayar korsanları sisteme sızabilir ve denetlediği cihazlara ve SSH kimlik bilgilerine yönelik yükseltilmiş ayrıcalıklar elde edebilir.
Cryptojacking bilgisayar korsanları daha sonra hem istemci hem de sunucu SSH bağlantıları için parolaları ve anahtarları yakalayabilen bir dizi kanca uygular.
Cryptojacking saldırılarını başlatmak için OpenSSH’den yararlanma
OpenSSH’nin değiştirilmiş sürümü, orijinal bir OpenSSH sunucusunun görünümünü ve davranışını taklit ederek, diğer kötü amaçlı dosyalara göre tanımlamayı daha zor hale getirir. Ayrıca, bu yamalı sürüm potansiyel olarak tehdit aktörlerinin birden fazla cihaza erişmesine izin verir.
Cryptojacking bilgisayar korsanları, bot ağlarını kullanarak ZiggyStarTux IRC botunun değiştirilmiş bir versiyonundan yararlandı. Güvenliği ihlal edilmiş cihazlarda kalıcı bir varlık oluşturmak için arka kapı, ZiggyStarTux’u benzersiz bir şekilde yapılandırmak için çeşitli teknikler kullanır.
Arka kapı, konumunu daha da sağlamlaştırmak için hizmet dosyasını oluşturan ve yapılandıran akıllı bir bash betiği kullanır. Bu ustaca manevra, ZiggyStarTux’u etkin bir şekilde tanınmış ve entegre bir sistem hizmeti olarak kaydederek kesintisiz çalışmasını güvence altına alır.
Kaçınma sırasında, ZiggyStarTux bilgisayar korsanları, kurbanın sistemlerinde, hatta sistem ikili dosyasında bile oturum açma izlerini kaldırır. Ayrıca, ZiggyStarTux botları kendilerini IRC sunucusuna bağlar, bu da onları daha sonra C2 sunucularına bağlar.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen dahili ve harici araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.