Amazon Web Services (AWS) tarafından barındırılan bir altyapının ele geçirilmesine ilişkin bir araştırma, şu adla anılan yeni bir GNU/Linux rootkit’in keşfedilmesine yol açtı: Bağlantı ProSynacktiv’in bulgularına göre.
“Bu arka kapı, iki eBPF’nin kurulumuna dayanan işlevselliklere sahiptir [extended Berkeley Packet Filter] Güvenlik araştırmacısı Théo Letailleur, modüllerin bir yandan kendini gizlediğini, diğer yandan da ‘sihirli paket’ alındığında uzaktan etkinleştirilebildiğini söyledi.
Fransız siber güvenlik şirketine göre enfeksiyon, saldırganların başlangıç noktası olarak CVE-2024-23897’ye karşı savunmasız bir Jenkins sunucusundan yararlanmasını içeriyordu ve ardından “kvlnt/vv” (artık kaldırıldı) adlı kötü amaçlı bir Docker Hub görüntüsü birkaç Kubernetes kümesine dağıtıldı.
Docker görüntüsü, Kali Linux tabanından ve üç dosya içeren “app” adlı bir klasörden oluşur:
- start.sh, SSH hizmetini başlatmak ve kalan iki dosyayı yürütmek için kullanılan bir kabuk betiği
- link, vnt adında, VPN sunucusu görevi gören ve vnt.wherewego’ya bağlanarak proxy yetenekleri sağlayan açık kaynaklı bir program[.]top:29872, saldırganın ele geçirilen sunucuya herhangi bir yerden bağlanmasına ve onu diğer sunuculara ulaşmak için proxy olarak kullanmasına olanak tanır
- vGet olarak adlandırılan ve bir S3 klasöründen şifrelenmiş bir VShell verisi alan ve daha sonra kendi komut ve kontrol (C2) sunucusuyla iletişim kurmaya devam eden Rust tabanlı bir indirici olan vGet (56.155.98)[.]37) WebSocket bağlantısı üzerinden
Kubernetes düğümlerine ayrıca iki kötü amaçlı yazılım türü daha teslim edildi: başka bir vShell arka kapısını yerleştiren bir damlalık ve Golang’da yazılmış bir kök kiti olan LinkPro. Gizli kötü amaçlı yazılım, yapılandırmasına bağlı olarak pasif (diğer adıyla ters) veya aktif (diğer adıyla ileri) modda çalışabilir ve yalnızca belirli bir TCP paketini aldıktan sonra C2 sunucusundan gelen komutları dinlemesine veya sunucuyla doğrudan iletişim başlatmasına olanak tanır.
İleri mod, HTTP, WebSocket, UDP, TCP ve DNS dahil olmak üzere beş farklı iletişim protokolünü desteklerken, ters mod yalnızca HTTP protokolünü kullanır. Olayların genel sıralaması şu şekilde gelişiyor:
- İşlemlerini ve ağ etkinliğini gizlemek için Tracepoint ve Kretprobe türlerindeki eBPF programlarını içeren “Gizle” eBPF modülünü yükleyin.
- “Gizle” modülü kurulumu başarısız olursa veya devre dışı bırakılırsa, “libld.so” paylaşılan kitaplığını /etc/ld.so.preload dizinine yükleyin.
- Ters mod kullanılıyorsa, C2 iletişim kanalının yalnızca sihirli paketin alınması üzerine etkinleştirilmesini sağlamak için eXpress Veri Yolu (XDP) ve Trafik Kontrolü (TC) türlerinden iki eBPF programı içeren “Knock” eBPF modülünü kurun.
- Bir systemd hizmeti kurarak kalıcılığa ulaşın
- C2 komutlarını yürüt
- Kesinti durumunda (SIGHUP, SIGINT ve SIGTERM sinyalleri), eBPF modüllerini kaldırın ve değiştirilen /etc/libld.so dosyasını silin ve orijinal sürümüne geri yükleyin.
Bunu başarmak için LinkPro, “/etc/ld.so.preload” yapılandırma dosyasını, arka kapının varlığını ortaya çıkarabilecek çeşitli yapıtları gizleme ana hedefiyle, içinde gömülü olan libld.so paylaşılan kitaplığının yolunu belirtmek üzere değiştirir.
Letailleur, “/etc/ld.so.preload dosyasında /etc/libld.so yolunun varlığı sayesinde, LinkPro tarafından yüklenen libld.so paylaşılan kitaplığı, /lib/ld-linux.so14 gerektiren tüm programlar tarafından yüklenir” diye açıkladı. “Bu, glibc gibi paylaşılan kitaplıkları kullanan tüm programları içerir.”
“Bir programın yürütülmesi sırasında libld.so yüklendiğinde, örneğin /usr/bin/ls, LinkPro’nun varlığını ortaya çıkarabilecek sonuçları değiştirmek için (glibc’den önce) birkaç libc işlevini bağlar.”
Synacktiv’e göre sihirli paket, pencere boyutu değeri 54321 olan bir TCP paketidir. Bu paket tespit edildiğinde, Knock modülü paketin kaynak IP adresini ve değer olarak bir saatlik ilgili son kullanma tarihini kaydeder. Program daha sonra kaynak IP adresi önceden kaydedilmiş IP adresiyle eşleşen ek TCP paketlerine dikkat eder.
Başka bir deyişle, LinkPro’nun temel işlevi, sihirli bir paketin gönderilmesini beklemek, ardından tehdit aktörünün kendi seçtiği bir bağlantı noktasına komut göndermek için bir saatlik bir pencereye sahip olmasıdır. Knock modülü ayrıca, orijinal hedef bağlantı noktasını LinkPro’nun dinleme bağlantı noktasıyla (2333) değiştirmek üzere gelen TCP paketinin başlığını değiştirmek ve giden paketi kaynak bağlantı noktasını (2233) orijinal bağlantı noktasıyla değiştirmek üzere değiştirmek üzere tasarlanmıştır.
Synacktiv, “Bu manevranın amacı, operatörün ön uç güvenlik duvarı tarafından yetkilendirilen herhangi bir bağlantı noktasından geçerek LinkPro için komut alımını etkinleştirmesine izin vermektir” dedi. “Bu aynı zamanda ön uç güvenlik duvarı günlükleri ile ele geçirilen ana bilgisayarın ağ etkinliği arasındaki ilişkiyi daha karmaşık hale getiriyor.”
LinkPro tarafından desteklenen komutlar arasında sahte terminalde /bin/bash komutunun çalıştırılması, kabuk komutunun çalıştırılması, dosya ve dizinlerin numaralandırılması, dosya işlemlerinin gerçekleştirilmesi, dosyaların indirilmesi ve SOCKS5 proxy tünelinin kurulması yer alır. Saldırının arkasında kimin olduğu şu an için bilinmiyor ancak tehdit aktörlerinin finansal motivasyona sahip olduğundan şüpheleniliyor.
Şirket, “Çekirdek düzeyinde gizlenmesi için rootkit, getdents (dosya gizleme) ve sys_bpf (kendi BPF programlarını gizleme) sistem çağrılarını engellemek için tracepoint ve kretprobe türlerindeki eBPF programlarını kullanıyor. Özellikle, bu teknik belirli bir çekirdek yapılandırması (CONFIG_BPF_KPROBE_OVERRIDE) gerektiriyor” dedi.
“İkincisi mevcut değilse LinkPro, kullanıcı alanındaki etkinliklerinin gizlenmesini sağlamak için /etc/ld.so.preload dosyası aracılığıyla kötü amaçlı bir kitaplık yükleyerek alternatif bir yönteme başvurur.”