Nesnelerin İnterneti cihazlarını hedef alan gelişmiş bir arka kapı kötü amaçlı yazılımı, güvenliği ihlal edilmiş sistemlere kalıcı erişimi sürdürmek için gelişmiş iletişim teknikleri kullanarak ortaya çıktı.
İlk olarak Ocak 2025’te tespit edilen PolarEdge arka kapısı, komuta ve kontrol operasyonları için özel bir TLS sunucu uygulaması ve özel ikili protokol kullanan IoT odaklı tehditlerde önemli bir evrimi temsil ediyor.
Kötü amaçlı yazılım ilk olarak Cisco yönlendiricilerini etkileyen ve uzaktan kod yürütülmesine olanak tanıyan bir güvenlik açığı olan CVE-2023-20118’in kullanılmasıyla ortaya çıktı.
Saldırganlar, hedef yönlendiricilere web kabukları dağıtmak ve sonraki yük dağıtımı için ilk dayanak noktalarını oluşturmak için bu kusurdan yararlandı.
Saldırı zinciri, FTP yoluyla “q” adlı bir kabuk komut dosyasının indirilmesini ve çalıştırılmasını içerir; bu komut dosyası, daha sonra güvenliği ihlal edilmiş sistemlerde PolarEdge arka kapısını alır ve başlatır.
PolarEdge, özellikle Asus, QNAP ve Synology ağ cihazlarını hedef alan değişkenlerle hedef seçiminde dikkat çekici bir çok yönlülük sergiliyor.
Kötü amaçlı yazılımın gelişmiş tasarımı, ağ altyapısı bileşenleri içerisinde uzun vadeli varlık oluşturmayı amaçlayan dikkatli bir geliştirmeyi öneriyor.
Dağıtım modeli, farklı ülkelerdeki birden fazla IP adresinden kaynaklanan koordineli kampanyaları gösterir ve bunların tümü, istismar girişimleri sırasında aynı Kullanıcı Aracısı HTTP üstbilgilerini kullanır.
Sekoia analistleri, ayrıntılı tersine mühendislik analizi sırasında kötü amaçlı yazılımın karmaşık mimarisini belirledi ve birden fazla çalışma modunu kullanan 1,6 MB ELF 64 bit yürütülebilir dosyayı ortaya çıkardı.
.webp)
Arka kapı, öncelikle gelen komutları dinleyen ve aynı zamanda günlük parmak izi işlemleri yoluyla komuta ve kontrol altyapısıyla iletişimi sürdüren bir TLS sunucusu olarak işlev görüyor.
Gelişmiş TLS Uygulama ve İletişim Protokolü
PolarEdge arka kapısının en belirgin özelliği, mbedTLS v2.8.0 kitaplığı kullanılarak oluşturulan özel TLS sunucu uygulamasında yatmaktadır.
Bu yaklaşım, meşru ağ trafiğine çok benzeyen şifreli kanallar sağlayarak geleneksel kötü amaçlı yazılım iletişim yöntemlerinden bir sapmayı temsil eder.
TLS uygulaması, yaprak sertifikaları ve sertifika yetkilisi zincirleri de dahil olmak üzere birden fazla sertifikayı kullanarak orijinal görünümlü şifreli bir iletişim altyapısı oluşturur.
.webp)
Kötü amaçlı yazılım, yürütülebilir dosyanın veri bölümlerine gömülü sabit kodlu belirteçleri kullanarak TLS bağlantısı üzerinden çalışan özel bir ikili protokol uygular.
Bu protokol, kötü amaçlı yazılımın yapılandırmasında saklanan belirteçler ve ikili dosyada sabit kodlanmış diğerleri dahil olmak üzere, istek doğrulama için belirli sihirli değerler gerektirir.
Komut yürütme, gelen istekler HasCommand alanında ASCII karakteri “1”i, ardından iki baytlık uzunluk göstergesini ve gerçek komut dizesini içerdiğinde gerçekleşir.
Parmak izi işlemleri sürekli olarak özel iş parçacıklarında yürütülür ve yerel IP adresleri, MAC adresleri, işlem tanımlayıcıları ve cihaza özgü ayrıntılar dahil olmak üzere kapsamlı sistem bilgileri toplanır.
Bu veriler, belirli sorgu dizisi formatlarına sahip HTTP GET istekleri kullanılarak komut ve kontrol sunucularına iletilir.
Kötü amaçlı yazılım, bu istekleri, cihaz markası, modül sürümü ve toplanan sistem tanımlayıcıları gibi parametreleri ortaya çıkaracak şekilde çözen şifrelenmiş biçim dizelerini kullanarak oluşturur.
Arka kapı, varsayılan sunucu işlevselliğinin ötesinde birden fazla çalışma modunu destekler. Geriye bağlanma modu, kötü amaçlı yazılımın dosya indirme işlemleri için bir TLS istemcisi olarak işlev görmesini sağlarken hata ayıklama modu, komut ve kontrol sunucusu adresleri için yapılandırma güncelleme yetenekleri sağlar.
Bu operasyonel modlar, kötü amaçlı yazılımın esnekliğini ve geliştiricilerin çeşitli dağıtım senaryoları ve bakım gereksinimlerine yönelik düşüncelerini gösterir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
