Ulusal Siber Güvenlik Merkezi (NCSC), Fortinet güvenlik duvarlarını ve diğer çevre cihazlarını hedefleyen gözlemlenen yeni tanımlanmış kötü amaçlı yazılım olarak adlandırılan bir ayakkabı rafı hakkında kritik bir uyarı yayınladı.
GO 1.18 programlama dili kullanılarak geliştirilen bu kötü amaçlı yazılım, komuta ve kontrol (C2) çözünürlüğü (C2) çözünürlüğü ve tehlikeye atılan sistemlerle etkileşim için özel SSH uzantıları kullanılarak DNS-HTTPS’den (DOH) yararlanarak yüksek düzeyde karmaşıklık gösterir.
Siber güvenlik uzmanları, ayakkabı rafını açık kaynaklı ters SSH uygulamasının ‘NHA’larının’ değiştirilmiş bir versiyonuna bağladılar, bu da tehdit aktörlerinin mevcut araçları kötü niyetli hedeflerine uygun olacak şekilde uyarladığını gösteriyor.
.png
)
Ortaya çıkan tehdit, HTTPS üzerinden DNS’den sömürülür
Kötü amaçlı yazılım, bir kurban cihazından hem UPX dolu hem de paketlenmemiş formlarda kurtarıldı ve aktörün yüklerini gizleme ve algılamadan kaçınma çabalarının altını çizdi.
Ayakkabı rafı, Google’ın 8.8.8.8, Cloudflare’nin 1.1.1.1 veya Quad9’un 9.9.9.9 gibi rastgele bir meşru DNS sunucusunu seçerek çalışmasını başlatır.[.]Org, Doh aracılığıyla.
Bu yaklaşım sadece şifreli HTTPS akışları içindeki ağ trafiğini maskelemekle kalmaz, aynı zamanda geleneksel DNS tabanlı algılama mekanizmalarını da karmaşıklaştırır.
C2 sunucusunun IP adresi çözüldükten sonra, kötü amaçlı yazılım bir TCP/TLS bağlantısı kurar ve bir SSH-2.0 el sıkışma başlatır ve kendisini eski bir ‘-1.1.3’ istemci olarak aldatıcı bir şekilde reklam yapar.
Bu alışılmadık davranış, C2 sunucusunun SSH kanalını açmasını bekleyen kötü amaçlı yazılımlarla birleştiğinde, standart SSH protokollerinden sapıyor ve uzlaşmanın temel bir göstergesi olarak hizmet ediyor.
Sofistike Ters SSH tünelleme
Desteklenen kanal türleri ‘oturumu’ ve standart olmayan bir ‘atlama’, komutları yürütmek ve etkileşimli kabukları açmaktan, uzlaşmış cihazı bir SSH sunucusuna dönüştüren ters SSH tünelleri oluşturmaya kadar bir dizi kötü amaçlı etkinlik etkinleştirir.
Buna ek olarak, ‘doğrudan-TCPIP’ kanalı, TCP tünellemesini kolaylaştırarak tehdit aktörlerinin kurbanın uç noktasından trafiği yönlendirmesine izin vererek potansiyel olarak lateral hareketi yerel alan ağlarına (LAN’lar) sağlar.
Kötü amaçlı yazılımın ikili analizi iki sürümü ortaya çıkarır: yaklaşık 4.07 MB dosya boyutu ve 9.38 MB boyutunda paketsiz bir versiyona sahip ‘LDNet’ adlı UPX dolu bir yürütülebilir ürün.
MD5, SHA-1 ve SHA-256 karmalar dahil meta veriler, tanımlama ve adli araştırmalara yardımcı olmak için belgelenmiştir.
Rapora göre– NCSC, tehdit oyuncusunun, ilerlemiş ısrarlı tehdit (APT) davranışının taktik bir göstergesi olan çevre savunmalarını ihlal ettikten sonra ayakkabı rafını iç ağlara döndürmek için özelleştirdiğine inanıyor.
UPX ambalajının kullanımı operasyonel güvenlik için bir miktar dikkat çekerken, eski bir SSH sürümünün kimliğine bürünmesi, kuruluşların erken tespit için izleyebileceği benzersiz ağ imzaları oluşturur.
NCSC, ağ yöneticilerini tanımlanan C2 alanına bağlantılar için trafiği incelemeye ve ortaya çıkan tehdidi azaltmak için sağlam uç nokta koruma mekanizmalarını uygulamaya çağırıyor.
Uzlaşma Göstergeleri (IOC)
| Tip | Tanım | Değer |
|---|---|---|
| İhtisas | C2 Alanı | Phcia.Duckdns[.]Org: 443 |
| Dosya adı | Kötü amaçlı yazılım adı | ldnet |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin