Tehdit aktörleri, sunucuları, veritabanlarını ve diğer önemli kaynakları barındıran kuruluşlarda yaygın oldukları için Linux sistemlerini istismar ediyor.
Linux sistemlerindeki güvenlik açıklarından yararlanmak, saldırganların hassas verilere erişmesine, hizmetleri kesintiye uğratmasına veya kötü amaçlı yazılım dağıtmasına olanak tanır.
Bunun yanı sıra, Linux’un açık kaynak yapısı bazen bilgisayar korsanlarının yararlanabileceği güvenlik açıklarını açığa çıkarabilmektedir.
Avast’taki siber güvenlik analistleri yakın zamanda Diamorphine rootkit’in vahşi doğada aktif olarak Linux sistemlerini kullandığını tespit etti.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Diamorphine Rootkit Linux Sistemleri
Kodun yeniden kullanımı, yeni virüslerin daha etkili bir şekilde bulunmasını ve eskilerinin izlenmesini mümkün kılar. Diamorphine, farklı mimarilere sahip birçok çekirdek sürümünde kullanılabilecek popüler bir Linux rootkit’i haline geldi.
Henüz tanımlanamayan başka bir varyant ise Mart 2024’te keşfedildi. 5.19.17 çekirdeği için bir x_tables modülü gibi görünüyordu.
Avast analizi, Diamorphine’in süreç gizleme, modül gizleme, kök yükseltme ve diğer yükler dahil bazı temel özelliklere sahip olduğunu gösterdi.
Birkaç ekleme, Diamorphine’i xx_tables mesajları aracılığıyla kırıyor ve isteğe bağlı işletim sistemi komutlarını çalıştırmak için sihirli paketler gönderiyor.
Çekirdek 5.19.17 için Netfilter’ın x_tables modülünü taklit eden bu Diamorphine varyantını test etmek için Ubuntu 22.04 (Jammy), sembol sürümleriyle eşleşen uygun bir dağıtımdır.
Kullanıcı-çekirdek iletişimi için xx_tables aygıtını oluşturur; “g” işlevi, copy_from_user aracılığıyla kullanıcı alanından veri kopyalayarak yazma işlemlerini gerçekleştirir.
Eğer “exit” gönderilirse, çıkış_işlevi sistemi geri yükler ve modülü boşaltır.
Yeni işlevsellik, “whitehat” gibi şifrelenmiş dizeler içeren IPv4/IPv6 “sihirli paketleri” destekler. Bu paketler, iç içe geçmiş a,b,c,d,e,f çağrılarında netfilter_hook_function kontrollerini geçtikten sonra kendilerinden çıkarılan rastgele komutların yürütülmesini tetikler.
Aşağıda, çıkış_ işlevi tarafından gerçekleştirilen tüm işlevlerden bahsettik: –
- Rootkit tarafından oluşturulan cihazı yok eder.
- Cihazı oluşturmak için kullanılan yapı sınıfını yok eder.
- Oluşturulan cdev’i (karakter aygıtı) siler.
- chrdev_region’ın kaydını siler.
- “Sihirli paketleri” uygulayan Netfilter kancalarının kaydını siler.
- Son olarak işaretçileri system_calls tablosundaki orijinal işlevlerle değiştirir.
Syslogk, AntiUnhide, Chicken ve bu güncellenmiş Diamorphine çeşidi gibi, keyfi komut yürütme için “sihirli paket” işlevselliğini uygulayan, tespit edilemeyen yeni Linux çekirdeği rootkit’leri keşfedilmeye devam ediyor.
En yeni Diamorphine, rootkit modülünü boşaltmak için bir cihaz arayüzü ve tehlikeye atılan sistemdeki herhangi bir komutun yürütülmesini tetiklemek için “sihirli paket” yönetimini ekler.
Devam eden işbirliği, bu gizli çekirdek düzeyindeki tehditlere karşı en yüksek korumayı sağlamayı amaçlamaktadır.
Öneriler
Aşağıda, sağlanan tüm önerilerden bahsettik: –
- Uzaktan kod yürütmeyi uygulamak için “sihirli paketler” kullanan yeni çekirdek rootkit’lerine karşı dikkatli olun.
- Boşaltma arayüzleri ve paket komut tetikleyicileri gibi zararlı işlevler sunan yeni rootkit sürümleriyle güncel kalın.
- İşbirliğine dayalı güvenlik çalışması ve gelişmiş algılama yoluyla çekirdek tehditlerine karşı sağlam önleme stratejisini tercih edin.
- Sistemlerinizi çekirdek düzeyindeki gizli kötü amaçlı yazılımlardan ve yasa dışı girişlerden korumak için savunmalarını güçlendirin.
- Bir rootkit tarafından “sihirli paket” kullanarak olası iletişim için güçlü ağ gözetimi ve filtreleme oluşturun.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free