
Google Tehdit İstihbaratı, güvenlik profesyonellerini gelişmiş tehdit avcılık teknikleriyle güçlendirmeyi ve Linux sistemlerindeki kötü niyetli .desktop dosyalarını tespit etmek için derin bir dalışla başlamayı amaçlayan yeni bir blog serisi başlattı.
.desktop dosyaları, Linux masaüstü ortamlarındaki standart yapılandırma dosyaları, uygulamaların nasıl başlatıldığını ve görüntülendiğini tanımlayın.
Masaüstü Giriş Spesifikasyonunu takiben, bu düz metin dosyaları genellikle ad, exec, simge ve tür gibi anahtarları içerir. [Desktop Entry] başlık. Ancak, Google Tehdit İstihbaratına son yüklemeler, bu normdan önemli ölçüde sapan yeni bir kötü niyetli .desktop dosyaları dalgası ortaya çıkarır.
.desktop dosyası aşağıdaki bölümleri ve anahtarları içerir:
[Desktop Entry]
Name=Application Name
Comment=Short description
Exec=/path/to/executable %U
Icon=icon-name
Terminal=false
Type=Application
Categories=Utility;Application;
Muhtemelen Zscaler’ın 2023 bulgularıyla ilgili kampanyalarla bağlantılı olan bu dosyalar, gerçek amaçlarını gizlemek için binlerce hurda kod – genellikle # karakter – içeriyor.
Bu gürültü içinde gizlenmiş, kullanıcı etkileşimi üzerinde dosyayı çift tıklatma gibi kötü amaçlı komutlar yürütmesi ile meşru bir .desktop yapısıdır.
Ortak bir taktik, arka planda ek kötü amaçlı yazılım aşamaları indirilirken kurbanların dikkatini dağıtan Decoy PDF dosyalarını barındırmak için Google Drive’ı kullanmayı içerir.
Saldırı Anatomisi
Google Topluluğu üzerinden paylaşılan Google Report’a göre, yürütüldüğünde, bu kötü amaçlı .desktop dosyaları, sistemin varsayılan tarayıcısı aracılığıyla, genellikle Google’ın sandbox tarafından kullanılan XFCE ortamında Firefox, Google Drive ile barındırılan bir PDF’yi başlatmak için XDG-Open komutunu kullanır.
Proses zinciri şunları içerir:
- XDG-Open: Masaüstü ortamını ve çevreye özgü yardımcılara delegeleri tanımlar.
- ekso-open: XFCE’de URL’yi açma isteğini iletin.
- Exo-Helper-2: Google Drive URL’siyle Firefox’u başlatmak için MIME Türü Yapılandırmaları kullanır.
Sandbox analizlerinde gösterilen bu davranış, birden fazla av fırsatı sağlar. Örneğin, exo-Helper-2’nin –Launch webBrowser ve Google Drive URL’si gibi bağımsız değişkenlerle kullanılması, şüpheli etkinliğin güçlü bir göstergesidir.

Tehdit av stratejileri
Google Tehdit İstihbaratı, davranışsal ve içerik analizinden yararlanarak bu dosyaları tespit etmek için sorgu tabanlı avlanma yöntemi önermektedir:
Aşağıda, sorgu ayrıntıları ve amaçları dahil olmak üzere Google Tehdit İstihbaratı tarafından belirtildiği gibi kötü niyetli .desktop dosyalarını tespit etmek için tehdit av stratejilerini özetleyen bir tablo bulunmaktadır.
Avlanma stratejisi | Sorgu | Amaç |
---|---|---|
Exo-Helper-2 işlemlerini hedefleme | Davranış_Processes: ” – Webbrowser’ı başlat” Davranış_Processes: ”https://drive.google.com/” | XFCE ortamları için odaklanmış bir algılama kuralı sunarak Google Drive URL’lerini tetikleyen örnekleri (örneğin .desktop ve ELF dosyaları) tanımlar. |
Tüm url açma işlemlerine genişleme | (Davranış: ”xDG-Open” veya Davranış: ”exo-open” veya davranış: ”exo-helper-2 ″ veya davranış:“ gio açık ”veya davranış:” kde-open ”) ve davranış_processes:” https://drive.google.com/ ” | Tespiti Gnome (Gio Open) ve KDE (KDE-Open) ortamlarına genişleterek Google Drive URL’lerini içeren daha geniş bir kötü amaçlı davranış yelpazesini yakalar. |
XDG-Open Artifacts’tan Kalkış (1) | Davranış: ”/usr/bin/grep grep -i ^xfce_desktop_window” dosya adı: ”*. Masaüstü” | Sandbox raporlarında görüldüğü gibi XFCE ortamlarını tanımlamak için XDG-Open tarafından yürütülen komutları tespit ederek .desktop dosyaları. |
XDG-Open Artifacts’tan Kalkış (2) | Davranış: ”/USR/BIN/GREP GREP -I ^XFCE_DESKTOP_WINDOW” Davranış_Processes: ”https://drive.google.com/” | İlgili kötü amaçlı örnekleri tanımlamak için XFCE ortam algılamasını Google Drive URL davranışı ile birleştirir. |
XDG-Open Artifacts’tan Kalkış (3) | Davranış: ”/USR/BIN/GREP GREP -I ^XFCE_DESKTOP_WINDOW” (Davranış_Processes: ”https://drive.google.com/” veya (davranış_processes: ”http” davranış_processes: ”. pdf”)) | XFCE çevre algılamasını Google Drive veya diğer PDF barındırma URL’lerini içeren davranışlarla birleştirerek algılamayı genişletir. |
İçerik Tabanlı Tespit | İçerik: {45 78 65 63 3d 62 61 73 68 20 2d 63 20 22} İçerik: {4e 61 6d 65 3D} İçerik: {5b 44 65 73 66} İçerik: {5b 44 65 73 6b 74 6f 70 20 45 6e 74 72 79 5d} | Kötü niyetli ortak dizeleri hedefler .desktop dosyaları (exec = Bash -c “, name =, .pdf, [Desktop Entry]) onaltılık desenler kullanma. |
Jenerik .desktop dosya avı | İçerik: {5B4465736B746F7020456E7472795D}@0 P: 1+ | Düzenler, [Desktop Entry] Başlık, kripto para madencileri başlatanlar gibi örnekleri ortaya çıkarır. |
Google Tehdit İstihbaratı, 2025 yılında yüklenen, potansiyel olarak ZSCaler tarafından tahmini yapılan kampanyaya bağlı olan birkaç .desktop dosyasını belirledi, ancak ilişkilendirme doğrulanmadı. Dikkate değer örnekler şunları içerir:
- Egzersiz Fırsatı, Ödeme Fiksasyonu için Seçenek Kullanımı. Desktop (SHA1: C2F0F011EABB4FAE94E7A5973F1F05208E197DB983A09E2F7096BCFF69A794D1, 30 Nisan 2025, Hindistan)
- WebEx Toplantısı için Gözden Geçirilmiş SOP – Mod.desktop (SHA1: 8D61CE3651EB070C8CDB76A334A16E53AD865572, 15 Nisan 2025, Hindistan)
- Ödül Madalya Bildirgesi Formu.desktop (SHA1: 1814730CB451B930573C6A52F047301BFF0B84D1, 8 Nisan 2025, Avustralya)
Genellikle Hindistan veya Avustralya’dan (potansiyel olarak vekiller aracılığıyla) yüklenen bu dosyalar, bu tehdidin küresel erişiminin altını çizmektedir.
Google Tehdit İstihbaratının Blog Serisi, savunucuları kötü niyetli avlamak için pratik, sorgu güdümlü yaklaşımlarla donatıyor .desktop dosyaları. Davranışsal analiz, süreç izleme ve içerik denetiminin birleştirilmesi, Linux ortamlarında tehditlerin proaktif olarak tanımlanmasını sağlar.
Sağlanan sorgular uyarlanabilir, güvenlik ekiplerini iç tehdit avı için hassaslaştırmaya veya diğer platformlara çevirmeye teşvik eder. .Desktop dosya kötüye kullanımı gelişmeye devam ettiğinden, bu tür stratejiler sofistike kötü amaçlı yazılım kampanyalarının önünde kalmak için kritik öneme sahiptir.
Arm your business against phishing & suspicious artifacts with top threat intelligence, test TI Lookup with 50 trial requests