Saldırganlar muhtemelen XorDdos Linux uzaktan erişim Truva Atı’nın (RAT) yaratıcılarını, yaklaşık iki yıldır tespit edilmeden ayrı bir Linux RAT kullanıyor ve bunu Tayland’daki kuruluşları hedeflemek ve virüslü sistemlere kötü niyetli erişimi sürdürmek için kullanıyor.
Adını Güneydoğu Asya folklorunda geceye özgü bir yerel ruhtan alan Krasue adlı RAT, radarın altından uçmak için gizli tekniklerin bir kombinasyonunu kullanıyor; rootkit kullanımı Group-IB’den araştırmacıların bildirdiğine göre, Linux çekirdeğinin çeşitli sürümlerini desteklemek için yedi derlenmiş sürümü bünyesinde barındırıyor. bir blog yazısı 7 Aralık’ta yayınlandı.
Birincil işlevselliği sıçan – 2021’de VirusTotal’da görünen ancak hiçbir zaman kamuya açıklanmayan – ana bilgisayara erişimi sürdürmektir. Group-IB tehdit istihbarat ekibi kötü amaçlı yazılım analisti Sharmine Low, bu, RAT’ın “ya bir botnet’in parçası olarak dağıtıldığı ya da ilk erişim aracıları tarafından belirli bir hedefe erişim elde etmek isteyen diğer siber suçlulara satıldığı” anlamına geliyor. , yazıda yazdı.
Krasue muhtemelen aynı yazar tarafından yaratılmıştır. XorDdos Linux Truva AtıAraştırmacılar, en azından aynı kaynak koduna erişime sahip olduklarını söyledi. Microsoft, bulut ve IoT dağıtımlarına yönelik saldırılarda yaygın olarak kullanılan XorDdos’u 2014 yılında keşfetti.
Araştırmacılar, RAT’ın benzersiz olduğunu söylediği bir yönünün, gerçek zamanlı akış protokolü (RTSP) mesajlarının, doğada nadiren görülen bir taktik olan, gizlenmiş bir “canlı ping” görevi görecek şekilde kullanılması olduğunu söylediler. RTSP genellikle video akışı ve video gözetim sistemleri gibi IP ağları üzerinden gerçek zamanlı medya akışlarının dağıtımını kontrol etmek için kullanılır.
Krasue’nin bulaştığı sistemlere ilk erişimi sağlamanın yöntemi belirsiz ancak olası yollar arasında güvenlik açığından yararlanma veya kimlik bilgisi kaba kuvvet saldırıları yer alıyor. Araştırmacılar, ilk erişim için daha az olası olsa da bir başka seçeneğin, RAT’ın aldatıcı bir paketin veya ikili dosyanın (sahte ürün güncellemesi gibi) bir parçası olarak kötü niyetli bir üçüncü taraf kaynaktan indirilmesi olabileceğini ekledi.
Group-IB, RAT’ın esas olarak telekom sektörünü hedeflemek için kullanıldığını gözlemlese de, araştırmacılar diğer sektörlerdeki kuruluşların da muhtemel hedefler olduğuna inanıyor. Ayrıca Krasue’nin, bir siber suçlu hedeflenen ağa zaten izinsiz girdikten sonra saldırı zincirinde daha sonra konuşlandırılmış olması da muhtemeldir.
Linux Rootkit Aracılığıyla Düşük Profil Tutmak
Araştırmacılar, gizlilik özelliklerinin birleşimi göz önüne alındığında, Krasue RAT’ın iki yıl boyunca fark edilmeden gizlenmesinin sürpriz olmadığını söyledi. Bu tekniklerin bazıları, bir Linux Çekirdek Modülü (LKM) olan Krasue rootkit’in veya çalışma zamanında çekirdeğe dinamik olarak yüklenebilen bir nesne dosyası olan Krasue rootkit’in kullanımında ve işlevselliğinde yatmaktadır.
Virüs bulaşmış bir sistemde rootkit, geçerli bir dijital imzası olmayan bir VMware sürücüsü gibi görünür. Bir LKM doğası gereği, Linux çekirdeğinin 2.6x/3.10.x sürümlerini hedefleyen rootkit, aşağıdakilerin işlevselliğini genişletir: çekirdek tüm çekirdek kaynak kodunu yeniden derlemek veya değiştirmek zorunda kalmadan. Üstelik, başlatma aşamasında rootkit kendi varlığını gizler ve daha sonra sunucuyu bağlamaya devam eder. “kill()” sistem çağrısını, ağla ilgili işlevleri ve dosya listeleme işlemlerini engelleyerek faaliyetlerini gizler.
Krasue’nin tespitten kaçmayı başarmasının bir diğer nedeni de UPX paketleme kullanmasıdır. Araştırmacılar, paketlenmiş kötü amaçlı yazılım örneklerinin genellikle güvenlik çözümleri tarafından tespit edilmesinin daha zor olduğunu ve eski Linux sunucularının genellikle zayıf uç nokta algılama ve yanıt (EDR) kapsamına sahip olduğunu söyledi.
FARE ayrıca kendisini daemonize ederek, arka plan işlemi olarak çalıştırarak ve SIGINT sinyallerini göz ardı ederek kaçınma yeteneklerini geliştirir; bu sonuncusu, kullanıcı Ctrl-C tuşlarına basarak işlemi sonlandırdığında kötü amaçlı yazılımın gönderilen kesinti sinyallerinden etkilenmediği anlamına gelir.
Low, Krasue’nin komuta ve kontrol (C2) ağıyla olan iletişimini gizleyecek özelliklere de sahip olduğunu söyledi; bunlar arasında, ana C2 için dokuz sabit kodlu IP adresi kullanılması ve yukarıda bahsedilen iletişim için RTSP kullanımı (siber suçlular için nadir görülen bir durum) bunlar arasında yer alıyor. .
Gönderide “Krasue her zaman başlangıçta dahili adreslere bağlanmaya çalışacaktır” diye açıkladı. “Yalnızca birden fazla yanıt verilmemesi ve sunucudan sunucuya bağlanmaya çalışılmasından sonra, 128’e bağlanmayı deneyecek[.]199[.]226[.]RTSP için yaygın olarak kullanılan bir bağlantı noktası olan 554 numaralı bağlantı noktasında 11. Bu dikkate değer çünkü kötü amaçlı yazılım geliştiricileri genellikle ağ trafiğini gizlemek için ortak bir çaba gösterirken, RTSP’nin bu amaçla kullanılması oldukça nadirdir.”
Linux RAT’lar için Güvenlik Önerileri
Group-IB, güvenlik profesyonellerini Krasue RAT’ın potansiyel enfeksiyonu konusunda uyarmak için bir dizi öneride bulundu. Bunlardan ilki, sistemdeki kötü amaçlı yazılımın varlığını bildirebilecek anormal RTSP trafiğine karşı dikkatli olmaktır.
Araştırmacılar ayrıca kuruluşların yazılım ve paketleri yalnızca güvenilir ve resmi kaynaklardan indirmelerini, Linux dağıtımları veya güvenlik konusunda güçlü bir itibara sahip doğrulanmış üçüncü taraf kaynaklar.
Yöneticiler ayrıca Linux çekirdeğini yalnızca imzalı modülleri yükleyecek şekilde yapılandırarak çekirdek modülü imza doğrulamasını etkinleştirmelidir. Low, “Bu, yalnızca güvenilir bir kaynaktan geçerli dijital imzaya sahip modüllerin yüklenebilmesini sağlar” diye yazdı.
Yöneticilerin güvenliği ihlal etmekten kaçınmak için atabileceği diğer güvenlik adımları, sistem ve ağ günlüklerini izlemek (bunları şüpheli etkinliklere karşı düzenli olarak incelemek) ve ayrıca periyodik güvenlik denetimleri gerçekleştirmektir.