Linux tabanlı ESXI sunucularını hedefleyen bir Lockbit Ransomware varyantının yakın zamanda tersine mühendislik analizi, birkaç sofistike kaçaklama tekniği ve operasyonel ayrıntıyı ortaya çıkarmıştır.
İlk olarak 2022’de belgelenen kötü amaçlı yazılım, ana sürecine bağlanmaya çalışarak hata ayıklama ortamlarını tespit etmek için PTRACE sistemi çağrısını kullanır.
Bu tipik olarak GDB veya Strace gibi mevcut bir izleyici nedeniyle başarısız olursa, program derhal çıkar ve dinamik analizi engeller.
Analistler, bir hata ayıklayıcıdaki koşullu sıçramaları yamalayarak veya koşulsuz yürütme için ikili değiştirerek bunu atlayabilirler.
Bu kontrolü takiben, kötü amaçlı yazılım, bir null terminatöre kadar bayt-byte uygulanan sabit taban değeri 0x39 (ondalık olarak 57) olan basit bir haddeleme rutini kullanarak dizeleri bozar.
Bu işlem, yardım menüsü, fidye notları, VM yönetimi için bash komutları ve kapsamlı günlük mesajları gibi kritik öğeleri ortaya çıkarır ve daha fazla sökmeyi basitleştirir.
Araştırmacılar, bu rutinlerde hata ayıklayarak ve bozulmuş verileri boşaltarak, IDA Pro gibi araçlardaki dize referanslarını yeniden adlandırabilir ve ikili komut dosyası olmadan ikili işlevlerini etkili bir şekilde eşleyebilir.
Kötü amaçlı yazılımların kontrol akışı, komut satırı bağımsız değişkenlerini bir anahtar durumu yapısı ile işleyen bir ARGV ayrıştırma işlevine odaklanır ve şifreleme için dosya boyutu eşikleri, günlüğe kaydetme modları ve hedef uzantılar gibi yapılandırmaları sağlar.
Özellikle, arka mühendislere kodun dallanma mantığını anlamada yanlışlıkla yardımcı olan arka planonizasyon, boş alan silme ve VM süspansiyonu için seçenekleri detaylandıran yerleşik bir yardım menüsü içerir.
ESXI’ye özgü işlemler
Günlük, devre dışı bırakma seçenekleri ile sağlamdır, /tmp /locklog’a yazın veya zaman damgaları, iş parçacığı kimlikleri ve mesaj argümanları ile biçimlendirilmiş hem dosyaya hem de stdout’a çıktı.
Rapora göre, bu sözde, dosya şifreleme bildirimleri gibi kötü amaçlı yazılım davranışlarının çoğunu ortaya çıkarır.
Kalıcılık için Daemon seçeneği, LIBC’nin arka plan programı işlevini kullanarak işlemi ayırır ve /tmp/locker.pid oluşturur ve birden fazla örneği önlemek için özel bir kilitle oluşturur ve tamamlanana kadar yalnız çalışmayı sağlar.
Silinme özelliği, montaj noktalarını tanımlamak için DF -H çıkışını ayrıştırarak serbest disk alanını siler, ardından fstatvf’lerden gelen dosya sistemi istatistiklerine dayalı olarak geçici dosyalara sıfır dolu bloklar yazmak için iş parçacığını, adli kurtarmayı karmaşıklaştırır.
ESXI’yi hedefleyen kötü amaçlı yazılım, devam etmeden önce VM-Support, VMDUSTUR ve VIM-CMD gibi araçları doğrular; Devamsızlık, görüntülenen yardım menüsü ile bir çıkış tetikler.
VIM-CMD Hostsvc/enable_ssh aracılığıyla SSH’yi etkinleştirir, ancak Rogue Keys gibi ek arka kapı konfigürasyonlarından yoksundur.
Şifreleme için, VMDumper komutlarını kullanarak çalışan VM’leri askıya alır, Nostop bayrağı ayarlanmadığı sürece dünya kimliği başına dokuz kez yeniden dener, aktif makineleri atlar.
Klasörler VM-SPPORT –ListVMS ile numaralandırılır, istisnalara karşı filtrelenir ve Glob ve özel rutinlere dişli çağrılarla şifrelenir.
Dosya Şifreleme
Dosya şifrelemesi, anahtar üretimi ve sızdırmazlık için statik olarak bağlantılı libsodyumdan yararlanır. RandomByTes_Buf kullanılarak dosya başına 128 bit rastgele bir anahtar oluşturulur, daha sonra şifreli bir genel anahtarla Crypto_box_Seal aracılığıyla bir Crypto_Box ile kapatılır ve şifrelenmiş dosyaya ekler.
Bu asimetrik yaklaşım simetrik anahtarları korur ve bellek dökümü yardımcı programını tek dosyalarla sınırlar.
Başarısız otomatik flört imzalarına rağmen manuel grafik eşleştirme yoluyla tanımlanan çekirdek şifre, açık uygulamalardan alınan verimli arama için Rijndael S-Box kullanan optimize edilmiş bir AES varyantıdır.
Karakulma sonrası, fidye notları adlandırılmış !!!-restore-my-files-!!! düştü, hızla övünüyor ve Tox aracılığıyla içeriden gelen saldırılar için teşvikler sunuyor.
Bu analiz, kötü amaçlı yazılımların, Popen veya Sistem yoluyla yürütülen bash komutlarına dayanan VM etkileşimlerindeki basitlik karışımını ve kriptodaki karmaşıklığa dayanarak, IoT odaklı botların ötesinde gelişen Linux tehditlerinin vurgulanmasını vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!