Linux kötü amaçlı yazılım yazarları, elf ikili dosyalarıyla bulut ortamlarını hedefleyen

   Haziran 11, 2025  Posted in GBHackers


Birim 42, Palo Alto Networks’ün Tehdit İstihbarat Bölümü, son zamanlarda endişe verici bir eğilim ortaya koyan soruşturmalar yürüttü: Tehdit aktörleri, bulut altyapısına saldırmak için Linux yürütülebilir ve bağlantılı format (ELF) kötü amaçlı yazılımları giderek daha fazla yaratıyor ve değiştiriyor.

Bulutun benimsenmesi ve Linux tabanlı sistemler ile bulut iş yükleri tahminlerinin büyük çoğunluğunun temelini oluşturuyor, bulut hesaplama örneklerinin% 70 ila% 90’ının saldırganların gelişmiş kötü amaçlı yazılım ailelerini dağıtmak için verimli bir zemin bulduğunu göstermektedir.

Elf ikili dosyaları neden önemlidir?

ELF, Linux’ta yürütülebilir ürünler ve paylaşılan kütüphaneler için standart dosya biçimidir. Linux’un bulut ortamlarındaki egemenliği nedeniyle, ELF dosyaları, kalıcılık, kaçırma ve yaygın etki arayan kötü amaçlı yazılımlar için ideal bir vektördür.

– Reklamcılık –
Google Haberleri

Rapora göre, Ünite 42’nin araştırması, gelişen beş elf tabanlı kötü amaçlı yazılım ailesini vurgulamaktadır: Noodlerat, Winnti (Linux varyantları), sshdinjektör, pygmy keçi ve asitpour.

Her aile geçen yıl en az iki önemli kod tabanı güncellemesi gördü ve her biri vahşi doğada en az 20 kat aktif geliştirme ve dağıtım kanıtı gözlemlendi.

ELF ikili dosyalarından yararlanan saldırılar sofistike olarak büyüyor, genellikle bulut yerli ve konteynerden dağıtımlarda güvenlik açıklarını veya yanlış yapılandırmaları hedefliyor.

Cortex Bulut Elf Makine Öğrenme Yürütme Uyarısı.

Örneğin, saldırganlar meşru süreçlere kötü amaçlı kod enjekte etmek için dinamik bağlayıcı kaçırma gibi teknikler kullanır. Bu genellikle çevre değişkenlerini kötüye kullanmayı içerir LD_PRELOAD gizli kod enjeksiyonu elde etmek için:

textLD_PRELOAD=/path/to/malicious.so /usr/sbin/sshd

Burada, /path/to/malicious.so herhangi bir meşru sistem kütüphanesinden önce yüklenen kod içerir ve saldırganların sistem çağrılarını veya kaçırma işlemlerini engellemelerine izin verir.

Teknik derin dalış: kötü amaçlı yazılım özellikleri

Noodlerat

Noodlerat hem Windows hem de Linux’u destekleyen bir arka kapıdır, ancak Linux varyantı elf tabanlı ve özellikle tehlikelidir. Yetenekler şunları içerir:

  • Ters Kabuk Erişim
  • Çorap Proxy Tünelleme
  • Şifreli iletişim
  • Dosya Yükleme/İndir
  • Proses Adı Sahtekarlık

Özellikle, Noodlerat Çince konuşan aktörler tarafından kullanılmıştır ve Hindistan, Tayland, Malezya ve diğerleri de dahil olmak üzere Asya-Pasifik’teki örgütleri hedeflemiştir.

Winnti’nin Linux versiyonu LD_PRELOAD Sistem ikili dosyalarına müdahale etmeden hafızada ikamet etmek. Şunları sağlar:

  • Uzaktan komut yürütme
  • Eksfiltrasyon hattı
  • SOCKKS5 Komut ve Kontrol için Proxy (C2)

Winnti sık sık nişastalı Boğa (aka Winnti Group, Baryum) gibi Çin-nexus aktörleriyle bağlantılıdır ve siber boyama için kullanılır.

SSHDInjector, çalışma zamanında SSH daemon’a kod enjekte eden bir Linux arka kapıdır:

  • Kimlik Bilgisi Hırsızlığı
  • Uzaktan komut yürütme
  • Kötü amaçlı yazılım
  • Dosya/dizin erişimi
  • Veri Defiltrasyonu

Sshdinjector, hükümetleri ve telkosları hedefleyen Toros (diğer adıyla Daggerfly, Kurtuluş Panda) gibi gruplar tarafından konuşlandırıldı.

Başlangıçta Sophos XG güvenlik duvarlarında keşfedilen bu arka kapı, savunmasız kütüphanelerden yararlanır (libsophos.soCVE-2022-1040) ve kullanır LD_PRELOAD enjekte etmek sshd. Dikkate değer özellikler:

  • Rootkit işlevselliği
  • ICMP tabanlı bağlantı noktası çalıyor
  • SSH trafik müdahalesi
  • Ters Çorap 5 Proxy Tünelleme
  • Cron İş Yaratılması

Hedefler arasında Asya-Pasifik’teki devlet kurumları ve STK’lar bulunmaktadır.

/ Asitrin için asit

Acidrain, MIPS tabanlı cihazları hedeflerken, halefi AcidPour x86 için derlenir-x86 tabanlı bulut altyapısına erişimini arttırır. Her ikisi de yıkıcı silecekler:

  • Kitle veri imha için IOCTLS kullanın
  • Kaçma için Kendi Kendini Delete Yetkilendirme

Acidpour, Rus gruplarıyla (razing ursa, yani sandworm, voodoo ayı) bağlantılıdır ve aktörler web kabuğu, yanlış yapılandırma veya konteyner kaçışı yoluyla kabuk erişimi kazanırsa özellikle zarar verici olabilir.

Tespit ve azaltma: makine öğreniminin rolü

Bulut tabanlı güvenlik uyarılarıyla 2024’te% 388 artışla ve kuruluşlar ileri süren tehdit (APT) saldırılarında% 45’lik bir artış olduğunu bildiren savunucular uyum sağlamalıdır. Palo Alto Networks ‘Cortex Cloud gibi modern bulut uç noktası algılama ve yanıt (EDR) çözümleri, şimdi şüpheli ikili dosyaları işaretlemek için makine öğrenimi kullanıyor.

Cortex Cloud’un ML modülü, beş kötü amaçlı yazılım ailesinde 100’den fazla benzersiz Elf ikili dosyası üzerinde test edildi. Tespit puanları:

  • > 0.85: kötü niyetli
  • 0.65-0.84: şüpheli
  • <0.65: iyi huylu

Test sonuçları, şüpheli veya kötü niyetli olarak puanlanan numunelerin% 92.3’ünü ve% 61.5’inin 0.85’in (kötü niyetli) üzerinde puan aldığını gösterdi. Model, aşağıdakiler gibi faktörleri dikkate alır:

  • Çekirdek modu sistemi çağrıları
  • İçe Aktarma Fonksiyonları
  • Kaçınma Teknikleri
  • Ağ trafiği
  • Bilinmeyen ikili desenler

Bilinmeyen bir ELF ikili yürütüldüğünde güvenlik ekipleri uyarılır. Cortex XDR arayüzü, ilgili olayların ve ayrıntılı süreç bilgilerinin bir zincirini gösterir, hızlandırma.

Bulut ortamınızı korumak

Tehditler göz önüne alındığında, uzmanlar:

  1. Tüm bulut hesaplama örneklerine uç nokta güvenlik aracılarını dağıtın Çalışma zamanı işleme, ağ trafiği ve davranışı izlemek.
  2. Linux sistemlerini ve kapsayıcıları düzenli olarak güncelleyin ve patlatın Saldırı yüzeyini azaltmak için.
  3. Çevre değişkenlerinin kötüye kullanılması için izleme beğenmek LD_PRELOAD ve olağandışı ikili yürütme.
  4. Bulut Algılama ve Yanıt (CDR) çözümlerini benimseyin EDR, denetim ve günlüğü birleştiren.

En sağlam koruma için, Palo Alto Networks müşterileri şunları kullanmaya teşvik edilir:

  • Korteks Elf Makine Öğrenme Tespit Modülü
  • Cortex PowerShell ve VBS Makine Öğrenme Algılama Modülü

Bir uzlaşmadan şüpheleniyorsanız, acil yardım için birim 42 olay tepkisine ulaşın.

Bulut geçişi hızlandıkça, tehdit aktörleri odağını Linux elf kötü amaçlı yazılımlara kaydırıyor ve bulut ortamları için kanıtlanmış teknikleri uyarlıyorlar.

Dinamik bağlayıcı kaçırma ve rootkit işlevselliği gibi backdoors, silecekler ve sofistike kaçış yöntemlerinin yükselişi, savunucuların gelişmiş algılama ve yanıtla devam etmesi gerektiği anlamına gelir.

Makine öğrenimi ile çalışan uç nokta güvenliği, ortaya çıkan bu tehditleri tanımlamak ve engellemek için gereklidir.

Kuruluşlar bulut altyapısına giderek daha fazla bağımlı olarak, şimdi Linux iş yüklerini ve konteynırları bir sonraki ELF tabanlı saldırı dalgasına karşı güçlendirmenin zamanı geldi.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link