Gizli Kötü Amaçlı Yazılımlar Yıllardır Binlerce Linux Sistemine Bulaştı

Diğer tartışmalar şunları içerir: Reddit, Stack Overflow (İspanyolca), forobeta (İspanyolca), brainycp (Rusça), natnetwork (Endonezya dili), Proxmox (Almanca), Camel2243 (Çince), svrforum (Korece), exabytes, virtualmin, serverfault ve diğerleri .

Bir güvenlik açığından veya yanlış yapılandırmadan yararlanıldıktan sonra, yararlanma kodu, çoğu durumda saldırgan tarafından saldırıya uğrayan ve kötü amaçlı yazılımın anonim olarak dağıtılması için bir kanala dönüştürülen bir sunucudan ana yükü indirir. Araştırmacıların bal küpünü hedef alan bir saldırı, httpd yükünü adlandırdı. Yürütüldükten sonra dosya kendisini bellekten /temp dizinindeki yeni bir konuma kopyalar, çalıştırır ve ardından orijinal işlemi sonlandırıp indirilen ikili dosyayı siler.

/tmp dizinine taşındığında dosya, bilinen bir Linux işleminin adını taklit eden farklı bir adla yürütülür. Bal küpünde barındırılan dosyaya sh adı verildi. Dosya buradan yerel bir komut ve kontrol süreci oluşturuyor ve yaygın olarak kullanılan açık kaynaklı bir multimedya çerçevesi olan Gpac’ta 2021’de yamalanan bir ayrıcalık yükseltme güvenlik açığı olan CVE-2021-4043’ten yararlanarak kök sistem haklarını kazanmaya çalışıyor.

Kötü amaçlı yazılım, bir kez daha rutin sistem dosyaları olarak görünen adları kullanarak kendisini bellekten birkaç başka disk konumuna kopyalamaya devam ediyor. Kötü amaçlı yazılım daha sonra rootkit olarak hizmet verecek şekilde değiştirilmiş bir dizi popüler Linux yardımcı programını ve madenciyi bırakır. Bazı durumlarda kötü amaçlı yazılım, verilerin gerçek kaynağının açığa çıkmaması için trafiği virüslü makine üzerinden gizlice yönlendirmek anlamına gelen “proxy-jacking” yazılımını da yükler.

Araştırmacılar şöyle devam etti:

Kötü amaçlı yazılım, komuta ve kontrol işleminin bir parçası olarak bir Unix soketi açar, /tmp dizini altında iki dizin oluşturur ve çalışmasını etkileyen verileri burada depolar. Bu veriler, ana bilgisayar olaylarını, kendi kopyalarının konumlarını, işlem adlarını, iletişim günlüklerini, belirteçleri ve ek günlük bilgilerini içerir. Ek olarak, kötü amaçlı yazılım, verileri depolamak için ortam değişkenlerini kullanır ve bu durum, yürütülmesini ve davranışını daha da etkiler.

Tüm ikili dosyalar paketlendi, çıkarıldı ve şifrelendi; bu da savunma mekanizmalarını atlatmak ve tersine mühendislik girişimlerini engellemek için önemli çabaların olduğunu gösteriyor. Kötü amaçlı yazılım ayrıca btmp veya utmp dosyalarında yeni bir kullanıcı tespit ettiğinde etkinliğini askıya almak ve etkilenen sistem üzerinde kontrolü sürdürmek için rakip kötü amaçlı yazılımları sonlandırmak gibi gelişmiş kaçırma teknikleri de kullanıyor.

Araştırmacılar, Shodan ve Censys gibi hizmetler tarafından takip edilen, çeşitli hizmet ve uygulamalar üzerinden internete bağlı Linux sunucularının sayısı gibi verileri tahmin ederek, Perfctl’in bulaştığı makinelerin sayısının binlerle ölçüldüğünü tahmin ediyor. Savunmasız makineler havuzunun (yani henüz CVE-2023-33426 yamasını yüklememiş veya güvenlik açığı bulunan bir yanlış yapılandırmayı içerenler) milyonlarca olduğunu söylüyorlar. Araştırmacılar, kötü niyetli madencilerin ürettiği kripto para miktarını henüz ölçmedi.

Cihazlarının Perfctl tarafından hedeflenip hedeflenmediğini veya virüs bulaştırıp etkilemediğini belirlemek isteyen kişiler, Perşembe günkü gönderide yer alan güvenlik ihlali göstergelerini aramalıdır. Ayrıca CPU kullanımındaki olağandışı ani artışlara veya ani sistem yavaşlamalarına (özellikle boş zamanlarda meydana geliyorlarsa) karşı da dikkatli olmalıdırlar. Perşembe günkü raporda ayrıca enfeksiyonların önlenmesine yönelik adımlar da yer alıyor.

Bu hikaye ilk olarak şu tarihte ortaya çıktı: Ars Technica.