ShellBot tehdidinin, yeni bir kampanyanın parçası olarak kötü yönetilen Linux SSH sunucularını hedeflemek için tasarlanmış yeni bir kötü amaçlı yazılım türü olduğu ortaya çıktı.
AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) tarafından yayınlanan bir raporda belirtildiği gibi, PerlBot olarak da adlandırılan ShellBot, normalde IRC protokolünü kullanarak C&C sunucusuyla iletişim kuran Perl programlama dili kullanılarak geliştirilmiş bir DDoS Bot kötü amaçlı yazılımıdır.
Eski bir kötü amaçlı yazılım olmasına rağmen, ShellBot son birkaç yılda istikrarlı bir şekilde kullanıldı ve bugün hala Linux sistemlerine saldırmak için kullanılıyor.
Saldırı Kampanyaları
Bir kötü amaçlı yazılım saldırısı, genellikle bir masaüstü ortamındaki bir web tarayıcısı veya e-posta eki aracılığıyla gerçekleşir. Tehdit aktörlerinin, kullanıcıları cihazlarına yüklemeye ikna etmek için meşru yazılım kılığında kötü amaçlı yazılım dağıtması da yaygın bir uygulamadır.
Sunucu ortamlarına saldırmak için tehdit aktörleri de farklı yöntemler kullanmışlardır.
Bu saldırıların başlıca hedefleri, kötü yönetilen veya yazılımlarının en son sürümüne yama uygulanmadığı için güvenlik açıklarından yararlanmakta zayıf olan hizmetlerdir.
Saldırı vektörlerine örnek olarak uzak masaüstü protokolü (RDP) ve Microsoft SQL Server hizmeti kullanılarak Windows işletim sistemlerinin hedeflenebileceği birkaç yol vardır.
Linux sunucularına yönelik saldırılarla ilgili olarak, Secure Shell (SSH) en sık hedeflenen hizmetlerden biridir. IoT ortamlarında eski bir Linux sunucusu veya katıştırılmış Linux işletim sistemi bulunduğunda, Telnet hizmeti sözlük saldırılarının hedefi olmuştur.
IRC protokolü ve ShellBot Analizi
Internet Relay Chat (IRC), kullanıcıların belirli kanallarda oturum açmasına ve aynı kanalda oturum açmış diğer kullanıcılarla gerçek zamanlı tartışmalara katılmasına olanak tanıyan gerçek zamanlı bir Internet sohbet protokolüdür.
Bir IRC botu, normal bir seri bağlantı noktası yerine internet üzerinden bir C&C sunucusuyla iletişim kurmak için IRC protokolünü kullanan bir bot kötü amaçlı yazılım parçası olarak tanımlanabilir.
Etkilenen sistemlere, bir IRC sunucusunun tehdit aktörleri tarafından belirlenen kanalına erişen, çalınan verileri ileten veya saldırgandan belirli bir diziyi komut olarak alan ve bu diziyle ilişkili kötü niyetli davranışı yürüten IRC botları bulaşır.
Geçmişte bir dizi tehdit aktörü tarafından önemli miktarda ShellBot kullanılmıştır. Araştırmacılar, kötü amaçlı yazılımın yükleme sırasında kullandığı komutlara, özelliklere ve DDoS saldırılarına göre ShellBot’u üç türe ayırdı.
Saldırı, sunucunun güvenliğini tehlikeye atan ve yükü dağıtan bir sözlük saldırısı başlatmak için bilinen SSH kimlik bilgilerinin bir listesini kullanır ve ardından saldırganla iletişim kurmak için Internet Relay Chat (IRC) protokolü aracılığıyla uzak bir sunucuyla bağlantı kurulur.
Öte yandan, PowerBots, güvenliği ihlal edilmiş ana bilgisayarlara ters kabuk erişimi sağlayabildiği ve bunlardan rastgele dosyalar yükleyebildiği için daha arka kapı benzeri bir yeteneğe sahiptir.
ShellBot’un Linux sunucularına kripto para madencileri bulaştırmayı ve bu madencileri kabuk betiği derleyicileri kullanarak dağıtmayı amaçlayan saldırılarda kullanılmasından bu yana yaklaşık üç ay geçti.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Okuma: