Darktrace’in son soruşturması, geleneksel kötü amaçlı yazılımları modern DevOps teknolojisi ile harmanlayan yeni bir kampanya ortaya çıkardı. Bu işlemin merkezinde, GitHub Kod Eziği’nde barındırılan bir Python tabanlı komut ve kontrol (C2) çerçevesi bulunmaktadır.
Tehdit oyuncusu, bir Python serpme makinesi tarafından başlatılan çok aşamalı bir Docker dağıtımından yararlanır ve ardından dinlendirici bir kayıt ve yoklama mekanizması uygulayan GO tabanlı bir uzaktan erişim Trojan (sıçan).
Konteynerizasyon ve bulut-doğal takımlarla gelişmiş hizmet reddi teknikleriyle evlenerek Shadowv2, DDOS kötü amaçlı yazılımını tam teşekküllü bir Botnet-Hizmet Platformuna yükseltir.
Shadowv2’yi ayıran şey, araç setinin sofistike ve ölçeğidir. Kampanya, HTTP/2 hızlı sıfırlama saldırılarını, Saldırı Modu Altında (UAM) Bypass Altında Cloudflare ve büyük ölçekli HTTP sellerini birleştirerek, hacimsel DDO’ları bulut altyapısının hedefli kullanımı ile birleştiren hibrit bir yaklaşımı gösteriyor.
Fastapi ve Pydantic aracılığıyla uygulanan bir OpenAPI spesifikasyonunun dahil edilmesi, cilalı bir giriş paneli ve operatör arayüzü, çok kiracılı kullanım için tasarlanmış bir hizmeti gösterir.
Bu Polonya seviyesi, operasyonu geleneksel bir botnet olarak değil, “Hizmet Olarak DDOS” platformu olarak yeniden canlandırıyor ve modern kötü amaçlı yazılımların hem mimaride hem de kullanılabilirlikte meşru bulut anadili uygulamaları nasıl yansıttığını yansıtıyor.
HTTP/2 hızlı sıfırlama yöntemi, protokolün çoğullama özelliğinden yararlanır: binlerce istek akışı tek bir bağlantı içinde oluşturulabilir, ardından yeni akışlar için serbest kapasiteye hemen iptal edilebilir.
Bu, müşteri başına talep oranlarını önemli ölçüde artırır, mağdur sunucularındaki kaynak tükenmesini en üst düzeye çıkarır ve geleneksel sel azaltılmasından kaçınır.
UAM Bypass için, kötü amaçlı yazılım, JavaScript zorluklarını çözmek ve temizleme çerezlerini almak için ChromedP aracılığıyla başsız bir krom ikili biriktirir – etkinliği Cloudflare’nin başsız tarayıcı algılama mekanizmaları ile sınırlıdır.
Ek bayraklar rastgele sorgu dizelerini, randomize IP’lerle sahte yönlendirme başlıklarını ve uygulanmamış WordPress bypass rutinlerini destekler.
Shadowv2 saldırısının analizi
İlk Erişim
Shadowv2’nin ilk uzlaşma vektörü, AWS EC2 örneklerinde maruz kalan Docker daemons’ı hedefler. Darktrace Honeypots Kaydedildi Python Docker SDK İstekleri User-Agent: docker-sdk-python/7.1.0 başlık ve enjekte edilmiş bir github X-Meta-Source-Client: github/codespaces.
Bağlantı denemeleri, Singapur’daki Microsoft IPS’den, GitHub Kod Eziği barındırma ile tutarlı olarak ortaya çıktı.
Sıçan ve DDOS ikili dosyalarını bir Ubuntu ortamına takan genel bir “kurulum” kap üreterek, daha sonra bu konteyneri dağıtım için görüntüleyerek, düşman muhtemelen harici adli eserleri en aza indirmeyi amaçlamaktadır.
Kötü amaçlı yazılım davranışı
Dağıtım yapıldıktan sonra, Docker konteyneri, /app/deployment. Çevre tarafından sağlanan evi kullanılarak ev MASTER_ADDR Ve VPS_NAME tanımlayıcılar, benzersiz bir VPS_ID VPS adını bir UNIX zaman damgası ile birleştirerek.
Kalıcı iki döngü implantı kullanır: Bir saniyelik bir kalp atışı gönderi /api/vps/heartbeatve beş saniyelik bir anket /api/vps/poll/ Yeni komutlar için.
Haziran ve Temmuz aylarında Virustotal’a gönderilen iki eski kötü amaçlı yazılım versiyonunun tersine mühendisliği, fırsatçı kurban başvurularını veya saldırgan testlerini öneren önceden tespit etmedi.
Komut Yükleri HTTP yöntemlerini, saldırı kimliklerini, hedef URL’leri ve bağlantı noktalarını, iş parçacığı sayımlarını, süre ve isteğe bağlı vekilleri belirtin.
Kötü amaçlı yazılım daha sonra Valyala’nın Fasthttp tabanlı HTTP Sel veya HTTP/2 Hızlı Sıfırlama Saldırılarını yürüten birden fazla iş parçacığı ortaya çıkar. Bir örnekte, araştırmacılar bir Amsterdam VPS’yi hedefleyen 120 iplikli bir HTTP/2 hızlı sıfırlama saldırısını ele geçirdi.
API ve C2 Altyapı
Kötü amaçlı yazılımların RESTful C2 – CloudFlare’nin arkasında ve muhtemelen GitHub kod alanlarında çalışan – şimdi halka açık görüşten geri çekilen bir Openapi spesifikasyon aracılığıyla belgelenen kapsamlı bir API’yi içeriyor.
Savunucular, konteyner düzenleme süreçlerine derin görünürlük kazanarak, Docker API’sında katı erişim kontrolleri uygulayarak ve anormal API kullanımı ve ağ modellerine ayarlanmış davranışsal analizlerle bulut iş yüklerini sürekli olarak izleyerek uyum sağlamalıdır.
Mevcut uç noktalar kullanıcı kimlik doğrulamasını, ayrıcalık ayrımlarını, saldırı başlatma ve zombi ana bilgisayar yönetimini destekler.
Yalnızca yönetici kullanıcı yaratma uç noktasının varlığı, açık zombi listeleri gerektiren saldırı başlatma uç noktası ve kara liste yönetimi işlevselliği, tamamen suçlu bir yeraltı botnet yerine çok kiracı, ticarileştirilmiş bir DDOS modelinin altını çiziyor.
Shadowv2, hizmet olarak siber suçların evrimini, konteynerleştirmeyi, bulut devOps platformlarını ve isteğe bağlı DDOS özelliklerini sunmak için tamamen gelişmiş bir API ve kullanıcı arayüzünü örneklendirir.
Bu kampanyaları modüler, hizmete dayalı tehditler-izole kötü amaçlı yazılım suşları değil, ShadowV2 ve benzeri botnet platformlarının gelecekteki yinelemelerini önlemek için kritik öneme sahip olacaktır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.