Siber güvenlik araştırmacıları, açık kaynaklı bir arka kapı sunmak için kimlik avı e-postalarını kullanan yeni bir saldırı zincirine ışık tuttular. Vshell.
Trellix araştırmacısı Sagar Bade, teknik bir yazımda, “kötü niyetli bir rar arşiv dosyasına sahip bir spam e-postası ile başlayan Linux’a özgü kötü amaçlı yazılım enfeksiyon zinciri” dedi.
“Yükün dosya içeriği veya makro içinde gizlenmez, doğrudan dosya adının kendisinde kodlanmıştır. Kabuk komut enjeksiyonunun ve base64 kodlu BASH yüklerinin akıllıca kullanılması yoluyla, saldırgan basit bir dosya listeleme işlemini otomatik bir kötü amaçlı yazılım yürütme tetikleyicisine dönüştürür.”
Siber güvenlik şirketi eklenen teknik, dosya adları yetersiz dezenfekla ile değerlendirildiğinde ortaya çıkan ve bu nedenle keyfi kodun yürütülmesini kolaylaştırmak için Değerlendirme veya Yankı gibi önemsiz bir komuta neden olan kabuk komut dosyalarında yaygın olarak gözlenen basit ama tehlikeli bir modelden yararlanır.
Dahası, teknik, antivirüs motorları tipik olarak dosya adlarını taramadığından, geleneksel savunmaların üstesinden gelmenin ek avantajını sunar.
Saldırının başlangıç noktası, kötü niyetli bir dosya adına sahip bir dosya içeren bir RAR arşivi içeren bir e -posta mesajıdır: “Ziliao2.pdf` {echo,
Özellikle, dosya adı, kabuk tarafından yorumlandığında komutları yürütmek üzere tasarlanmış bash uyumlu kodu içerir. Dosyayı arşivden çıkarmanın yürütmeyi tetiklemediğini belirtmek gerekir. Aksine, yalnızca bir kabuk komut dosyası veya komutu dosya adını ayrıştırmaya çalıştığında oluşur.
Burada dikkate alınması gereken bir diğer önemli husus, bu sözdizimiyle manuel olarak bir dosya adı oluşturmanın mümkün olmamasıdır, yani muhtemelen başka bir dil kullanılarak oluşturuldu veya kabuk giriş doğrulamasını atlayan harici bir araç veya komut dosyası kullanılarak bırakıldı.
Bu da, daha sonra harici bir sunucudan uygun sistem mimarisi için bir ELF ikili (x86_64, i386, i686, armv7l veya aarch64) için bir ELF ikili olarak geri alan gömülü bir baz 64 kodlu indiricinin yürütülmesine yol açar. İkili, şifreli VShell yükünü elde etmek, kod çözmek ve ana bilgisayarda yürütmek için bir komut ve kontrol (C2) sunucusu ile iletişimi başlatır.
Trellix, kimlik avı e -postalarının bir güzellik ürünü anketi için bir davet olarak gizlendiğini ve alıcıları tamamladığı için parasal bir ödül (10 RMB) ile cezbettiğini söyledi.
Bade, “En önemlisi, e -posta, kullanıcıya açık bir şekilde açmasını veya çıkarmasını bildirmese de, bir RAR arşiv eki (‘YY.rar’) içerir.” “Sosyal mühendislik açısı incedir: kullanıcı anket içeriği tarafından rahatsız edilir ve ekin varlığı anketle ilgili bir belge veya veri dosyası ile karıştırılabilir.”
Vshell, UNC5174, ters kabuk, dosya işlemleri, süreç yönetimi, bağlantı noktası yönlendirme ve şifrelenmiş C2 iletişimini destekleyen son yıllarda Çin hack grupları tarafından yaygın olarak kullanılan Go tabanlı bir uzaktan erişim aracıdır.
Bu saldırıyı tehlikeli kılan şey, kötü amaçlı yazılımın tamamen bellek içi çalışması, disk tabanlı algılamadan kaçınması, çok çeşitli Linux cihazlarını hedefleyebileceğinden bahsetmemesidir.
Trellix, “Bu analiz, RAR arşivine gömülü basit bir dosya adının keyfi komutlar yürütmek için silahlandırılabileceği Linux kötü amaçlı yazılım sunumunda tehlikeli bir evrimi vurgulamaktadır.” Dedi. “Enfeksiyon zinciri, kabuk döngülerinde komut enjeksiyonundan yararlanır, Linux’un izin veren yürütme ortamını kötüye kullanır ve sonuçta sistem üzerinde tam uzaktan kumanda yeteneğine sahip güçlü bir arka kapı vshell kötü amaçlı yazılım sunar.”
Geliştirme, Picus Security, geleneksel izleme araçlarını atlatmak için Linux çekirdeğinin IO_uring çerçevesinden yararlanan Ringreaper olarak adlandırılan Linux odaklı bir eksploit sonrası aracın teknik analizini yayınladı. Şu anda kötü amaçlı yazılımların arkasında kim olduğu bilinmemektedir.
Güvenlik Araştırmacı Süla Öreren Hacıoğlu, “Okuma, yazma, recv, gönder veya bağlantı gibi standart işlevleri çağırmak yerine, Ringreaper eşdeğer işlemleri eşdeğer operasyonları eşzamansız olarak yürütmek için kullanır (örneğin, io_uring_prep_*).” Dedi. “Bu yöntem, kanca tabanlı algılama mekanizmalarını atlamaya yardımcı olur ve EDR platformları tarafından yaygın olarak toplanan telemetride kötü niyetli aktivitenin görünürlüğünü azaltır.”
Ringreaper, sistem işlemlerini, aktif sahte terminal (PTS) oturumlarını, ağ bağlantılarını ve oturum açmış kullanıcıları numaralandırmak için IO_URING’den yararlanırken ayak izini azaltır ve algılamayı önler. Ayrıca “/etc/passwd” dosyasından kullanıcı bilgilerini toplayabilir, SUID ikili dosyaları ayrıcalık yükseltme için kötüye kullanabilir ve yürütüldükten sonra kendi izlerini silebilir.
Picus, “Güvenlik araçlarının sık sık izlediğini veya kancasına bağlı olarak geleneksel sisteme olan güvenini en aza indirmek için Linux çekirdeğinin modern eşzamansız I/O arayüzü IO_uring’den yararlanıyor.” Dedi.