Tehdit aktörleri, sunucu ortamlarındaki yaygınlıkları nedeniyle Linux sistemlerini hedef alıyor ve cron işleri, yetkisiz erişimi uzun süre sürdürmenin gizli bir yolunu sunuyor.
Kaspersky uzmanları, eşler arası veri alışverişi için NKN teknolojisini kullanan, çapraz mimari uyumluluğuyla Go’da yazılan çok yönlü bir kötü amaçlı yazılım olan “NKAbuse”u keşfetti.
Öncelikle Linux masaüstü bilgisayarları hedef alarak aşağıdaki tehditleri oluşturur: –
- MISP
- ARM sistemleri
- Nesnelerin İnterneti cihazları
İmplant yükleme yoluyla sızarak, ana klasördeki bir cron işi aracılığıyla kalıcılık sağlar ve şunları içerir: –
- Su baskını
- Arka kapı erişimi
Linux Masaüstü Bilgisayarlara Saldıran NKAbuse Kötü Amaçlı Yazılım
NKN (Yeni Tür Ağ), 60.000’den fazla düğümle gizliliğe öncelik veren merkezi olmayan bir protokoldür. Çeşitli yönlendirme algoritmalarına sahip olup veri aktarımını optimize eder.
Bunun yanı sıra, NKN’nin blockchain protokolünün (kötüye) kullanılması gibi kötü amaçlı yazılım istismarları, taşma saldırılarına ve Linux sisteminin arka kapılarına olanak tanıyor.
GERT, bir finans firmasına yapılan saldırıda Struts2 (CVE-2017-5638) istismarına işaret eden kanıtlar buluyor. Güvenlik açığı, komutların bir “kabuk” başlığı aracılığıyla yürütülmesine olanak tanıyor ve bu da kurbanın cihazına komut dosyasının indirilmesine ve kötü amaçlı yazılım yüklenmesine yol açıyor.
Kurulum işlemi işletim sistemi türünü kontrol eder, “app_linux_{ARCH}” adlı ikinci aşamayı (kötü amaçlı yazılım) indirir ve bunu /tmp dizininden çalıştırır.
Kötü amaçlı yazılım sekiz mimariyi destekliyor ve aşağıda bunlardan bahsettik: –
- 386
- arm64
- kol
- amd64
- mips
- mipsel
- mips64
- mips64el
Kötü amaçlı yazılım NKAbuse çalıştırıldığında /root/.config/StoreService/ dizinine taşınır, ifconfig.me aracılığıyla IP alır ve yeniden başlatmanın hayatta kalması için cron işlerini kullanır.
İletişim, hesap oluşturma ve eşzamanlı veri alışverişi için çoklu istemci için NKN protokolünü kullanır.
Bot ana mesajları için bir işleyiciyle NKAbuse, “{JUNK}.google.com” alt alan adlarını hedefleyen benzersiz bir DNS taşması da dahil olmak üzere DDoS saldırıları gerçekleştirir.
Araştırmacılara göre NKAbuse yalnızca bir DDoS aracı değil aynı zamanda kalıcılığı sürdürmek, komutları yürütmek ve hassas bilgileri toplamak için çeşitli özellikler sunan oldukça yetenekli bir arka kapı/RAT’tır.
Arka kapı olarak çalışabilme ve virüslü sistemleri uzaktan kontrol edebilme yeteneği, onu siber güvenlik açısından ciddi bir tehdit haline getiriyor.
Bot yöneticisiyle düzenli iletişim kurmak, ana bilgisayar ayrıntılarını saklamak için bir “Kalp Atışı” yapısı oluşturur ve yetenekler şunları içerir: –
- Ekran görüntüleri alma
- Dosya oluşturma/kaldırma
- Dosya listeleri getiriliyor
- Listeleme süreçleri
- Sistem komutlarını çalıştırma
- Çıktıyı NKN aracılığıyla gönderme
NKAbuse, yaygın olmayan iletişim protokollerini kullanmasıyla öne çıkan benzersiz bir platformlar arası tehdittir. Botnet entegrasyonu için hazırlanmış olup, ana bilgisayara özel bir arka kapı görevi de görür.
IOC’ler
Ana bilgisayar tabanlı: –
- MD5: 11e2d7a8d678cd72e6e5286ccfb4c833
Oluşturulan dosyalar: –
- /root/.config/StoreService
- /root/.config/StoreService/app_linux_amd64
- /root/.config/StoreService/files
- /root/.config/StoreService/.cache