Phrack Magazine’in son sayısı #72, istismar taktikleri, tehlikeye atılmış sistem detayları ve sofistike bir Linux rootkit de dahil olmak üzere şüpheli bir Kuzey Kore hack operasyonundan önemli bir veri sızıntısını açıkladı.
Güney Koreli ve Tayvanlı hükümet ve özel sektörleri hedefleyen bir Çin tehdit oyuncusu ile bağlantılı olan döküm, Kuzey Kore Kimuky APT grubuyla örtüşüyor.
Aktif arka kapı gelişiminin ekran görüntülerinin yanı sıra dahili ağlara ve hassas sertifikalara erişimi ortaya çıkarır.
Birden fazla platform için canlı kötü amaçlı yazılım içeren tam arşiv, tehlikeli içeriği nedeniyle dikkatli bir şekilde ele alınmasını gerektirir. Bu pozlama, casusluk ve yanal hareket için gizli araçlar kullanan gelişmiş kalıcı tehditleri vurgulamaktadır.
Rootkit özellikleri
2025 varyantından analiz edilen rootkit, Khook kütüphanesi üzerine inşa edilmiş yüklenebilir bir çekirdek modülü (LKM) olarak çalışır ve çekirdek sistemi çağrısından kaçınma tespit edilmesini sağlar.
Kendini /etc/init.d ve /etc/rc*.d dizinlerinde LSMOD listeleri, gizler süreçleri, ağ etkinliği ve kalıcılık dosyalarından gizler.
Etkinleştirme, kabuk yürütme, dosya transferleri, proxy kurulumu veya ana bilgisayar zinciri için şifreli bir arka kapıyı tetikleyen herhangi bir bağlantı noktasında sihirli bir paket aracılığıyla gerçekleşir.
Komutlar, kabuk geçmişlerini /dev /null’a yeniden yönlendirme ve zaman aşımlarını önleme gibi forensik önlemleri içerirken, tüm trafik şifrelenir.
Rapora göre, modül/USR/LIB64/Tracker-FS’de bulunur, çekirdeği imzasız olarak (varsayılan olarak VMWFXS olarak adlandırılır) yerleştirir ve A/PROC/ACPI/PCICARD soketi ile iletişim kurar.
Kırılganlığı, belirli çekirdek sürümleriyle ilişkilendirir, güncellemelerde başarısız olur, ancak Web veya SSH bağlantı noktaları gibi meşru hizmetlere karışarak güvenlik duvarlarını atlar.
Olay Yanıtı
Algılama, gizli dosyalardaki otomatik uyarılar, lekeli çekirdekler ve pelerinli işlemler için Sandfly gibi araçlara dayanır ve güncellemeler olmadan anomalileri ortaya çıkarır.
Manuel kontroller arasında DMESG veya /var/log/Kern.log aracılığıyla imzasız modül lekeleri taraması, listelerde görünmezliğe rağmen şüpheli yollarda doğrudan dosya istatistikleri ve Tracker-Fs.service gibi SystemD hizmetlerini incelemek bulunur.
Arka kapı ikili at/usr/dahil/tracker-fs/tracker-eps kötü niyetli dizeler gösterirken, gizli işlemler PS ve SS’den kaçınır, ancak özel yardımcı programlarla azalabilir.
Çok hızlı zincirleme, SOCKS5 vekilleri ve gecikmiş paket akışları gibi özellikler kaçırmayı artırır. Temizleme için, kök erişiminin tam uzlaşma kapsamını gizlediğinden, izolasyon ve yeniden inşa edilmesi önerilir.
Güvenlik ekipleri, kırılgan göstergeler üzerinde jenerik avlanmaya öncelik vermeli ve değişebilirlik nedeniyle karma tabanlı aramalardan kaçınmalıdır.
Bu rootkit, artan tehditlerin ortasında Linux ortamlarının uyanık izlenmesini isteyerek Nation-State Toolkit’in sofistike olduğunu vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge | Notalar |
|---|---|---|
| Çekirdek modülü | VMWFXS (Varsayılan Ad) | İmzasız, çekirdek lekesine neden olur; değiştirilebilir |
| Dosya Yolu | /usr/lib64/tracker-fs | Gizli kötü amaçlı modül; Doğrudan STAT Açıklar |
| Arka kapı ikili | /usr/dahil/tracker-fs/tracker-efs | Gizli; Dizeler, anti-forsik gösteriyor |
| Kalıcılık dosyaları | /etc/init.d/tracker-fs, /etc/rc*.d/s90tracker-fs | Modül ekleme için önyükleme komut dosyaları; gizlenmiş |
| Soket | /proc/acpi/pcicard | İletişim uç noktası; LS -Al algılar |
| Systemd Hizmeti | Tracker-F.Service | SystemCtl durumu üzerinden ortaya çıkar; sürüklenme göstergesi |
| Çevre Vars | HistFile =/dev/null, tmout = 0 | Gizli işlemlerde anti-forensik kabuk ayarları |
AWS Security Services: 10-Point Executive Checklist - Download for Free