Veba olarak adlandırılan sofistike bir Linux arka kapı, kurumsal güvenlik için eşi görülmemiş bir tehdit olarak ortaya çıktı ve çekirdek kimlik doğrulama mekanizmalarının manipülasyonu yoluyla kalıcı SSH erişimi oluştururken tüm büyük antivirüs motorlarında tespitten kaçındı.
Nextron Systems’taki siber güvenlik araştırmacıları tarafından keşfedilen bu kötü amaçlı yazılım, mükemmel gizli ve sistem düzeyinde kalıcılığa ulaşmak için Linux hedefli saldırılarda bir paradigma kaymasını temsil eder.
Kötü amaçlı yazılımın en endişe verici özelliği, geleneksel güvenlik önlemlerine karşı tam görünmezliğidir. Geçtiğimiz yıl boyunca Virustotal’a yüklenmesine rağmen, sıfır antivirüs motorları herhangi bir örneği kötü niyetli olarak işaretleyerek mükemmel bir 0/66 algılama oranı elde etti.
Bu benzeri görülmemiş kaçaklama yeteneği, Linux’un temel kimlik doğrulama altyapısına entegrasyonundan kaynaklanmaktadır ve burada güvenlik kontrollerini altyazarken meşru bir PAM modülü olarak çalışır.
Veba Kötü Yazılım Kaçma Mekanizmaları
Veba, gelişmiş gizlemeyi sistem düzeyinde manipülasyonla birleştiren çok katmanlı bir yaklaşımla çalışır. Kötü amaçlı yazılım, basit XOR tabanlı şifrelemeden anahtar zamanlama algoritması (KSA), sözde rastgele rastgele nesil algoritması (PRGA) ve deterministik rastgele bit jeneratör (DRBG) katmanları içeren gelişmiş çok aşamalı algoritmalara ilerleyen gelişen dize gizleme teknikleri kullanır. Bu ilerleme, tehdit aktörlerinin analiz araçlarının önünde kalmaları için sürekli gelişimi yansıtır.
Kötü amaçlı yazılım antidebug mekanizmaları, ikili kişinin beklenen dosya adını koruduğunu doğrular libselinux.so.8 ve yokluğunu kontrol eder ld.so.preload Çevre değişkenlerinde.
Bu kontroller, kötü amaçlı yazılımların, ikili dosyaları genellikle yeniden adlandıran veya analiz için önceden yükleme mekanizmalarını kullanan kum havuzu ortamlarını ve hata ayıklayıcıları tespit etmesini sağlar.
Bu tür teknikler, kötü amaçlı yazılımların kötü amaçlı işlevselliği etkinleştirmeden önce yürütme ortamı bütünlüğünü doğruladığı yerleşik antidebug metodolojileriyle uyumludur.
Dize şifrelemesi, Veba’nın gizli yeteneklerinin kritik bir bileşenini temsil eder. İlk numuneler, her bir baytın önceden belirlenmiş bir anahtarla bitim özel veya bittiğinde temel XOR işlemlerini kullanmıştır.
Bununla birlikte, son varyantlar özel KSA ve PRGA rutinleri içeren RC4 benzeri uygulamaları benimsemiştir. KSA fazı, 256 baytlık bir durum dizisini anahtara bağlı permütasyonlar yoluyla başlatırken, PRGA çalışma zamanı sırasında gizlenmiş dizeleri çözmek için sahte bir tuş akışı üretir.
Veba, meşru bir PAM modülü olarak maskelenerek, özellikle de pam_sm_authenticate() Kullanıcı kimlik doğrulamasından sorumlu işlev.
Bu yaklaşım, kimlik doğrulama işlemlerinin paylaşılan kütüphaneleri dinamik olarak yükleyen Pam’ın modüler mimarisini kullanır. /etc/pam.d/. Kendini bu güvenilir yürütme yolunda konumlandırarak, Veba düz metin kimlik bilgilerine ve kimlik doğrulama kararlarına erişim kazanır.
| Özellik | Tanım | Saldırgan için amaç / fayda |
|---|---|---|
| Antide arabası | Biçerdârlardan kaçınmak için kontrolleri (örneğin, dosya adı, çevre varsları) uygular | Analistler ve kum havuzları tarafından algılanmayı önler |
| String gizleme | İkili içindeki dizelerin ve ofsetlerin çok katmanlı şifrelemesi | Hassas bilgileri gizler, imza tabanlı AV’den kaçınır |
| Statik şifre | Pam modülüne sabit kodlu kimlik bilgileri | Kalıcı, gizli SSH erişimini sağlar |
| Gizli oturum eserleri | Çevre sterilize eder, Vars’ı Çıkarır, kabuk geçmişini devre dışı bırakır | İzinsiz giriş ve kullanım kanıtını siliyor |
Kötü amaçlı yazılım, statik şifre kimlik doğrulaması uygular ve saldırganların sabit kodlu arka kapı şifreleri aracılığıyla normal kimlik doğrulama doğrulamasını atlamasına izin verir.
Bu teknik, kötü amaçlı modüllerin geri döndüğü Pam Backdoor Metodolojilerini Belgelendirir PAM_SUCCESS belirli kimlik bilgisi kombinasyonları için koşulsuz olarak. İmplantın kimlik doğrulama yığınına entegrasyonu, sistem güncellemelerinden kurtulmasını sağlar ve kimlik doğrulama işlemlerinin doğasında bulunan yüksek ayrıcalıklarla çalışır.
Veba, kapsamlı oturum gizli mekanizmaları yoluyla Linux adli eserleri hakkında sofistike bir anlayış göstermektedir. Kötü amaçlı yazılım, kritik ortam değişkenlerini belirleyerek SSH bağlantılarının kanıtlarını sistematik olarak kaldırır, SSH_CONNECTION– SSH_CLIENTVe SSH_TTY.
Bu değişkenler normalde istemci IP adresleri, bağlantı noktası numaraları ve sistem yöneticilerinin denetim yollarına güvendiği terminal bilgileri gibi bağlantı meta verileri içerir.
Ayrıca, Veba HISTFILE ortam değişkeni /dev/nullkabuk komut geçmişinin kaydedilmesini etkili bir şekilde önleyin.
Bu teknik, saldırgan faaliyetlerinin, olay yanıtı sırasında yaygın olarak incelenen Bash geçmişi dosyalarında iz bırakmamasını sağlar. Kötü amaçlı yazılımların Linux adli prosedürleri bilgisi, önemli operasyonel güvenlik uzmanlığına sahip aktörlerin gelişimini önermektedir.
Derleme artefaktlarının analizi, birden fazla ortam ve zaman dilimini kapsayan aktif, sürekli gelişmeyi ortaya koymaktadır. Temmuz 2024 ve Mart 2025 arasında derlenen yedi farklı örnek sürekli arıtma göstermektedir, derleyici meta veriler Debian, Ubuntu ve Red Hat sistemlerinde yapıları göstermiştir.
Virustotal başvuruların öncelikle ABD’den, Çin’den bir örnekle coğrafi dağılımı, yaygın dağıtım veya kasıtlı yanlış yönlendirmeyi önermektedir.
Kötü amaçlı yazılım, 1995 tarihli “Hackers” filmine kültürel bir referans içeriyor ve “Uh. Veba Bay, efendim? Sanırım bir hacker var.” Başarılı kimlik doğrulama bypass’tan sonra.
Bu Paskalya yumurtası, sadece bozulmadan sonra görülebilir, tehdit aktörlerinin kültürel geçmişine ve potansiyel olarak klasik hacker kültürüne aşina olan Batı tehdit gruplarına atfedilmeleri hakkında fikir verir.
Veba’nın ortaya çıkışı, geleneksel uç nokta güvenliği yaklaşımlarındaki kritik güvenlik açıklarını büyük ölçüde imzaya dayalı tespit etmeye dayanır.
Kötü amaçlı yazılımların 66 antivirüs motorunda sıfır tespit etme yeteneği, güvenilir sistem bileşenlerinden yararlanan yeni saldırı vektörleriyle karşılaştığında geleneksel güvenlik araçlarının sınırlamalarını göstermektedir.
PAM altyapısının hedeflenmesi, Linux kötü amaçlı yazılımlarda stratejik bir evrimi temsil eder ve temel sistem bileşenlerine odaklanmak için uygulama katmanı saldırılarının ötesine geçer.
Bu yaklaşım, kimlik doğrulama katmanı sürekli olarak savunmasız kaldığı için saldırganların uygulama güncellemeleri veya güvenlik yamaları ne olursa olsun erişimi sürdürmesini sağlar. Güvenlik ekipleri, benzer tehditleri tespit etmek için PAM modülü bütünlük kontrolü uygulamalı ve kimlik doğrulama alt sistemi değişikliklerini izlemelidir.
IOC Listesi
| Sha-256 | Boyut | Dosya adı | İlk Gönderim | Ülke | Derleyici |
|---|---|---|---|---|---|
| 85C6683565E3EE6A478A2E0B1FD3D87119BEBADC43A16814C30B94C53766BB | 36.18 KB | libselinux.so.8 | 2024-07-29 17:55:52 | Amerika | GCC: (Debian 10.2.1-6) 10.2.1 20210110 |
| 7C3ADA3F63A32F4727C62067D13E40BCB9A9A9CBEC8FB7E9A319931FC5A93332E | 41.65 kb | libselinux.so.8 | 2024-08-02 21:10:51 | Amerika | GCC: (Debian 10.2.1-6) 10.2.1 20210110 |
| 9445da674e59ef27624cd5c8ffa0bd6c837de0d90dd2857cf28b16a08fd7dba6 | 49.55 kb | libselinux.so.8 | 2025-02-04 16:53:45 | Amerika | GCC: (Ubuntu 13.3.0-6ubuntu2 ~ 24.04) 13.3.0 |
| 5E6041374f5b1e6c05393ea28468a91c41c38dc6b5a5230795a61c2b60ed14bc | 58.77 KB | libselinux.so.8 | 2025-02-09 21:27:32 | Amerika | GCC: (Ubuntu 13.3.0-6ubuntu2 ~ 24.04) 13.3.0 |
| 6d2d30d5295AD99018146C8E67EA12F4AAA2CA1A170AD287A579876BFFFF03C2950 | 49.59 kb | kaçırmak | 2025-02-10 03:07:24 | ÇİN | GCC: (Ubuntu 9.4.0-1ubuntu1 ~ 20.04.2) 9.4.0 |
| E594BCA43ADE76BBAB2592E9EABB8DCA8A72ED27AFD5E26D857659EC173261 | 109.67 KB | libselinux.so.8 | 2025-02-13 22:58:43 UTC | Amerika | soyulmuş |
| 14B0C90A2EF6B94B9C5160875FCF29AFF15DCFDFD402D95341D9B0DCA8B39 | 41.77 KB | libse.so | 2025-03-22 18:46:36 | Amerika | GCC: (GNU) 4.8.5 20150623 (Red Hat 4.8.5-44) |
Kuruluşlar hemen PAM yapılandırmalarını denetlemeli, kimlik doğrulama modüllerinin bütünlüğünü doğrulamalı ve şüpheli kimlik doğrulama modelleri için izleme uygulamalıdır.
Kötü amaçlı yazılımların karmaşıklığı, kritik altyapı ve savunma yüklenicileri için yüksek güvenlik duruşlarını garanti ederek devlet düzeyinde veya gelişmiş kalıcı tehdit yeteneklerini gösterir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches