Yakın zamanda GitHub’da yeni bir çekirdek modülü rootkit kötü amaçlı yazılımı yayınlandı. Sürüngen olarak adlandırılan. Kendini, diğer kötü amaçlı kodları, dosyaları, dizinleri ve ağ trafiğini gizleme yeteneğine sahip açık kaynaklı bir rootkit’tir.
Diğer kötü amaçlı yazılım rootkit’lerinden farklı olarak Reptile, kolay sistem kontrolü sağlayan ters kabuğuyla öne çıkar ve imza hamlesi Port Knocking’tir.
Bağlantı Noktası Vurma, virüs bulaşmış bir sistemde belirli bir bağlantı noktasını açar ve bir saldırganın Sihirli Paketini aldıktan sonra onu C&C sunucusuna bağlar.
ASEC’deki siber güvenlik araştırmacıları kısa bir süre önce bu yeni rootkit kötü amaçlı yazılımını tanımladı.
Linux Sistemlerine Saldıran Rootkit Kötü Amaçlı Yazılım
Reptile, kötü amaçlı yazılım kurulumuna yardımcı olur ve saldırganları, virüs bulaşmış sistemlerde çalıştırmak için ters kabuk bağlantısını bekleyen ve saldırgana kontrol sağlayan bir komut satırı aracı olan Listener ile donatır.
Saldırganlar, Port Knocking’i kullanarak belirli paketleri ileterek C&C sunucusunu belirtmeden ters bir kabuk çalıştırabilir. Bir komut satırı aracı olan Packet, ters kabuk bağlantısı ve bağlantı noktası çalma yöntemi için parametreleri alır.
Ek olarak, İstemci aracılığıyla bir arayüz kullanılabilir. Varsayılan olarak Reptile, reptile, reptile_shell ve reptile_cmd gibi adları kullanarak /reptile/ dizin yolu altına kötü amaçlı kodlar yükler.
Yükleyici, sürüngen, şifreli Reptile rootkit çekirdek modülünün şifresini çözer ve kurar, bir dosya olarak doğrudan var olmaktan kaçınır.
reptile_cmd, komutları Reptile rootkit’e iletir ve hedefi bir bağımsız değişken olarak gizler. Bir ters kabuk kötü amaçlı yazılımı olan Reptile_shell, rootkit tarafından sağlanan bağımsız değişkenlerle yürütülür.
Kurulum sırasında doğrudan bir C&C sunucusu bağlantısı tercih ediliyorsa, komut /reptile/reptile_start komut dosyasında ayarlanır.
Rootkit, çekirdek modülünü yükledikten sonra komut dosyası aracılığıyla ters kabuğu tetikler. Bağlantı noktası çalma yoluyla alınan adres, ters kabuk yürütme sırasında C&C sunucu adresini de iletebilir.
Reptile rootkit, Magic Packet’i belirli bir bağlantı noktasında bekler, ters kabuk bağlantısı için C&C sunucu adresini ortaya çıkarır ve bağlantı noktası çalma tekniğini destekler.
Reptile’ın defconfig dosyası temel ayarları tutar: –
- MAGIC_VALUE, “hax0r” değerindedir
- ŞİFRE ‘s3cr3t’
- SRCPORT, ‘666’dır
Rootkit, yapılandırma dosyasında (666) belirtilen bağlantı noktasını hedefleyerek gelen paketleri TCP/UDP/ICMP yoluyla izler.
Reptile rootkit’in ters kabuğu, alınan bir adresi kullanarak C&C sunucusuna bağlanır.s3cr3t‘ Dinleyici ile iletişim için ŞİFRE olarak. İki şekilde yürütülebilir: –
- Liman Vuruşu
- rootkit çekirdek modülü kurulumu sırasında
Reptile’ın ters kabuğu, açık kaynaklı bir Linux arka kapısı olan TinySHell’den gelir. Çinli gruplar tarafından kullanılan bir arka kapı kötü amaçlı yazılımı olan Rekoobe, Syslogk rootkit ile benzerlikler paylaşıyor ve bu da Reptile’ın yapı etkisine işaret ediyor.
öneriler
Aşağıda, aşağıdaki gibi güvenlik tehditlerini önlemek için ASES’teki güvenlik analistleri tarafından sunulan tüm temel önerilerden bahsetmiştik:-
- Ayarları düzgün bir şekilde kontrol ettiğinizden emin olun.
- Tüm sistemleri mevcut en son yamalar ve güncellemelerle güncel tuttuğunuzdan emin olun.
- Kötü amaçlı kod bulaşmalarını engellemek için her zaman en son V3’ü kullanın.
- Sağlam bir güvenlik çözümü kullandığınızdan emin olun.