Linux Sistemlerini Uzaktan Kontrol Etmek İçin Sıfır Gün Açıklarından Yararlanan Rootkit Kötü Amaçlı Yazılım

   Ocak 13, 2025  Posted in CyberSecurityNews


LINUX Rootkit kötü amaçlı yazılımı

Fortinet araştırmacıları, bir kabuk komut dosyası (Install.sh) çalıştırarak kurumsal cihazlarda birden fazla sıfır gün güvenlik açığından yararlanan gelişmiş bir rootkit kötü amaçlı yazılımını ortaya çıkardı.

Analiz, saldırganların nasıl kalıcılık sağladığına, ağ trafiğini nasıl ele geçirdiğine ve çekirdek modülleri ve kullanıcı alanı süreçlerini kullanarak güvenliği ihlal edilmiş Linux tabanlı sistemleri nasıl uzaktan kontrol ettiğine yeni bir ışık tutuyor.

Soruşturma, saldırganların bir kurumsal sistemin yetkisiz kontrolünü ele geçirmesine olanak tanıyan sıfır gün istismarına ilişkin önceki bir raporun ardından geldi.

FortiGuard, çekirdek modülü olarak dağıtılan kötü amaçlı bir rootkit’in (sysinitd.ko) ve bir kullanıcı alanı ikili dosyası (sysinitd), adı verilen hazırlanmış bir kabuk komut dosyası aracılığıyla güvenliği ihlal edilmiş sisteme tanıtıldı. Install.sh.

Kalıcılığı sağlamak için saldırganlar, rootkit başlangıç ​​girişlerini kritik Linux yapılandırma dosyalarına (/etc/rc.local Ve /etc/rc.d/rc.local). Bu girişler, kötü amaçlı yazılımın sistem önyüklemesi sırasında yüklenmesini sağladı.

Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free

Saldırı Dağılımı

Çekirdek modülü sysinitd.ko Linux sistemine derinlemesine entegre olacak şekilde tasarlandı. İle yükleme yapıldığında insmod komutuyla modül birkaç görevi başlattı:

Bu rootkit kötü amaçlı yazılımın iş akışı şeması.
  • Dahili işlemler için şifresi çözülmüş dizeler.
  • Ağ trafiğini engellemek için bir Netfilter kancası kaydedildi.
  • Özel dosya girişleri oluşturuldu (/proc/abrtinfo, /proc/brtinfo, /proc/rtinfo) kullanıcı alanı kötü amaçlı yazılımıyla iletişimi kolaylaştırmak için.

Linux’ta temel bir çerçeve olan Netfilter’dan yararlanıldı NF_INET_PRE_ROUTING Aşama: Yönlendirme kararlarından önce paketlerin ele geçirilmesi. Netfilter kanca işlevi, saldırganlardan gelen TCP paketlerini filtreleyerek hazırlanmış bir “saldırı başlatma” paketi kullanarak okunaklı paketleri ayırt etti.

Belirli bayt dizileri ve doğrulama verileriyle titizlikle tasarlanan saldırı başlatma paketi, kötü amaçlı yazılımın saldırganla iletişimin kimliğini doğrulamasına olanak sağladı.

Şifreleme yetenekleriyle desteklenen bu özellik, güvenli veri alışverişini mümkün kıldı. Doğrulandıktan sonra çekirdek modülü, devam eden trafik yönetimi için saldırganla ilgili verileri (kaynak/hedef IP ve bağlantı noktası) kaydetti.

Çekirdek modülü, kullanıcı alanı ikili dosyasını çağırmak için Linux API’lerini kullandı sysinitd. Tespitten kaçınmak için “bash” işlemi olarak gizlenen bu ikili, saldırganın komutlarını kolaylaştırdı. İletişim şu yolla gerçekleşti: /proc daha önce oluşturulan girişler:

  • /proc/abrtinfo kullanıcı alanı sürecine girdi olarak hizmet etti.
  • /proc/brtinfo çıktıyı yakaladı.
  • /proc/rtinfo Görevin yürütülmesi için yönetilen kontrol komutları.

Rootkit Kötü Amaçlı Yazılımın Yetenekleri

Saldırganlar, Linux komutlarını, Netfilter kanca işlevi aracılığıyla göndererek ele geçirilen sistemde uzaktan çalıştırdı. aracılığıyla ortaya çıkan bir alt süreç fork() sistem çağrısı ve yerine /bin/shbu komutları kök düzeyinde ayrıcalıklarla yürüttü.

Ebeveyn süreci sysinitd alt süreci izleyen ve yöneten bir arka plan programı görevi gördü. Özel kontrol komutları saldırganların şunları yapmasına olanak sağladı:

  • Alt süreci yeniden başlatın veya sonlandırın.
  • Hem ebeveyn hem de alt süreçleri sonlandırın.
  • Gibi sinyaller gönderin Ctrl+C.

Şifreleme Esnekliği: Kötü amaçlı yazılım, saldırı başlatma paketindeki belirli bir işaret aracılığıyla iletişim için şifrelemeyi değiştirebilir.

Aldatma Teknikleri: sysinitd süreç, sistem yöneticilerinin incelemesinden kaçınmak için kendisini “bash” olarak yeniden adlandırdı.

Modüler Kod: Rootkit, HTTPS, SSH, FTP ve diğer protokoller dahil olmak üzere TCP oturumlarını üç yönlü bir el sıkışma kullanarak ele geçirme yetenekleriyle oluşturulmuştur.

FortiGuard, saldırgan kontrolünü simüle etmek için bir Python betiği kullanarak kötü amaçlı yazılımın işlevselliğini gösterdi. Saldırgan, dosya indirme ve dizin tarama da dahil olmak üzere Linux komutlarını başarıyla yürüttü ve sonuçlar Wireshark kullanılarak bir ağ trafiği analizinde yakalandı.

Rootkit’in karmaşık yapısı, kritik sistem açıklarından yararlanan siber saldırıların artan karmaşıklığını vurguluyor. Saldırganlar, çekirdek seviyesi ve kullanıcı alanı bileşenlerini birleştirerek gizlilik, kalıcılık ve kapsamlı sistem kontrolü sağladı.

FortiGuard’ın Tavsiyeleri

  1. Yama Yönetimi: Bilinen güvenlik açıklarını gidermek için ürün yazılımını ve yazılımı düzenli olarak güncelleyin.
  2. Denetim ve İzleme: Olağandışı süreçleri ve ağ trafiğini izlemek için araçlar kullanın.
  3. Procfs Güvenliği: Sertleşmek /proc Kötü niyetli aktörlerin kötüye kullanımını önlemek için dizin izinleri.
  4. Olay Müdahale Hazırlığı: Bu tür istismarların hızla tespit edilmesi ve azaltılması için müdahale ekipleri hazırlayın.

FortiGuard’ın titiz analizi, saldırganların hedeflenen sistemler üzerinde tam kontrol elde etmek için sıfır gün istismarını nasıl titizlikle planladığını ortaya koyuyor ve proaktif siber güvenlik savunmalarına olan acil ihtiyacın altını çiziyor.

Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!



Source link