Yakacak odun arka kapısının sofistike yeni bir varyantı ortaya çıktı ve gelişmiş kaçırma özelliklerine sahip Linux sistemlerini hedefliyor ve komut yürütme işlevselliği.
Bu son yineleme, ESET’in araştırma ekibi tarafından ilk kez keşfedilen ve en az 2005 yılına dayanan uzun süredir devam eden “Project Wood” kötü amaçlı yazılım soyuyla bağlantılı olan kötü amaçlı yazılım ailesinin önemli bir evrimini temsil ediyor.
Yakacak odun arka kapısı, gizli koruma sağlamak ve kalıcı komut ve kontrol iletişimi oluşturmak için çekirdek seviyesi rootkit modülleri ve çay bazlı şifreleme kullanan Linux ortamları için özel olarak tasarlanmış bir uzaktan erişim Trojan (sıçan) olarak çalışır.
Bir kez konuşlandırıldıktan sonra, tipik olarak tehlikeye atılan Linux masaüstlerine ekilen web kabukları aracılığıyla, kötü amaçlı yazılım, saldırganların keyfi komutlar yürütmelerini, hassas sistem bilgilerini ve kimlik bilgilerini hasat etmelerini ve büyük ölçüde tespit edilmemiş kalırken uzun süreli casusluk işlemlerini yapmasını sağlar.
Intezer araştırmacıları, bu yeni varyantı SHA256 HASH 898A5BD86C5D99EB70088A90F1D8F90B03BD38C15A232200538D0601C888ACB6 ile önceki versiyonlardan önemli mimari değişiklikler göstererek tanımladılar.
Kötü amaçlı yazılım, Çin’e uyumlu Gelsemium APT grubuna düşük güven bağlantılarını sürdürür, ancak bu çakışmalar kesin atıftan ziyade birden fazla tehdit aktöründe paylaşılan araç setlerini yansıtabilir.
Güncellenmiş varyant, başlatma ve ağ protokollerinde önemli değişiklikler gösterir.
Açık izin kapıları uygulayan önceki sürümlerin aksine CUser::IsSuc() Çağrılar, yeni yineleme bu erken kontrolü tamamen ortadan kaldırır, bunun yerine kök veya çekirdek validasyonunu daonizasyon ve PID depolama sonrasına kadar erteler.
Bu mimari değişim eskisini böler SavePidAndCheckKernel() Ayrık bileşenlere işlev görür: bir başlangıç SavePid(pid) operasyon ve ardından CModuleControl::AutoLoad() Ve CheckLkmLoad() işlevler.
Gelişmiş iletişim protokolü ve sistem keşfi
Kötü amaçlı yazılımların ağ uygulaması, selefinin karmaşık zamanlama mekanizmalarından önemli bir ayrılmayı temsil eder.
.webp)
Eski varyantlar, yapılandırılabilir işaret aralıkları ve gecikme parametreleri ile sofistike randomize zaman penceresi algoritmaları kullanırken, yeni sürüm sürekli bir şekilde basitleştirilmiş bir yaklaşım benimser. while (true) Döngü yapısı.
Yapılandırılmış başlangıç gecikmesinden sonra, kötü amaçlı yazılımlar sürekli olarak C2 bağlantılarını dener. ConnectToSvr() Başarılı bağlantı kuruluşu veya zamanlayıcı son kullanma süresi kadar başarısızlık üzerine kısa uyku aralıkları uygulamak.
Sistem keşfi için, güncellenen varyant bir geri dönüş mekanizması uygulayarak OS algılama yeteneklerini geliştirir.
Birincil /etc/issue Dosya kullanılamıyor, kötü amaçlı yazılım otomatik olarak dağıtım bilgilerini okumaya çalışıyor /etc/issue.nether iki kaynakta tutarlı ayrıştırma metodolojilerinin korunması.
Bu fazlalık, hedef yapılandırma varyasyonlarından bağımsız olarak güvenilir sistem parmak izi sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.