Şu anda kimliği bilinmeyen bir grup veya kişinin yeni bir “arka kapı” yayınladığı bildirildi. Bu arka kapı, Amerika Birleşik Devletleri Merkezi İstihbarat Teşkilatı (CIA) tarafından geliştirilen ve “Hive” olarak bilinen bir kötü amaçlı yazılıma benzer şekilde çalışacak şekilde tasarlanmıştır.
Hive’ın kaynak kodu, Kasım 2017’de WikiLeaks olarak bilinen kuruluş tarafından herkesin kullanımına açıldı.
Bu, programlama bilgisi ve sızdırılan kaynak koduna erişimi olan herkesin potansiyel olarak kendi kötü amaçlı yazılım sürümünü oluşturabileceği anlamına gelir ve söz konusu kimliği belirsiz aktörlerin bu bilgileri kendi kötü amaçlı yazılım sürümlerini geliştirmek için kullandıklarına inanılmaktadır.
CIA’nın Hive Çoklu Platform Saldırı Kiti
360Netlab’ın bal küpü sistemi ilk kez doğal ortamında CIA Hive saldırı kitinin bir varyantını tespit etti. Uzmanlar, içinde yerleşik bir Bot tarafı sertifikası (CN=xdr33) bulunması nedeniyle bu değişkene “xdr33” adını verdiler.
F5 cihazlarındaki bir N günlük güvenlik açığının xdr33’ün kaynağı olduğuna inanılıyor. Komuta ve kontrol sunucusuyla iletişim kurmak için sahte Kaspersky sertifikalarına sahip SSL kullanılır.
Çinli bir siber güvenlik firması, arka kapının arkasındaki amacın, bir güvenlik açığından yararlanarak hassas bilgileri toplamak ve ardından diğer sistemlere izinsiz giriş başlatmak için bir fırlatma rampası kullanmak olduğunu iddia ediyor.
Bu yeni uygulama, Hive’a yeni işlevsellik ve talimatların yanı sıra Hive’ı birçok yönden geliştiren bir dizi uygulama değişikliği getiriyor.
Aşağıdaki şemada, işlevsel şemaların nasıl düzenlendiğini görebiliriz: –
HIV kaynak koduyla yapılan karşılaştırmaya göre, xdr33’te aşağıdaki beş alan güncellendi:-
- Yeni CC talimatları eklendi
- Sarma veya genişletme işlevleri
- Yapılar yeniden sıralandı ve genişletildi
- Tetikleyici mesaj formatı
- Beacon görevine CC işlemlerinin eklenmesi
ELF, saldırganlar tarafından kontrol edilen uzak bir sunucuya düzenli olarak virüslü sistem hakkında bilgi (“sistem meta verileri” olarak bilinir) göndererek bir “Beacon” olarak çalışacak şekilde tasarlanmıştır.
Ek olarak, kötü amaçlı yazılım, C2 sunucusu tarafından verilen komutları yürüterek saldırganların virüs bulaşmış sistemi uzaktan kontrol etmesine olanak tanır.
Beacon C2 ve xdr33, iletişim sürecinin bir sonucu olarak aşağıdaki dört adımı kullanarak iletişim kurar ve burada aşağıda belirtilmiştir:-
- İki yönlü SSL kimlik doğrulaması
- XTEA anahtarını edinin
- XTEA şifreli cihaz bilgilerini C2’ye bildirin
- C2 tarafından gönderilen komutları yürütün
Belirli bir “tetikleme” paketi için ağ trafiğini izleyen bir “Tetikleme modülü” de vardır.
Tetikleme paketi algılandığında, kötü amaçlı yazılım C2 sunucusunun IP adresini alır ve bununla bağlantı kurar. Kötü amaçlı yazılım daha sonra komutların C2 sunucusu tarafından gönderilmesini bekler ve bunları yürütür.
Başka bir deyişle, kötü amaçlı yazılım, onu etkinleştirmek ve C2 sunucusuna bağlanmak için belirli bir sinyal veya komutu pasif olarak bekleyecek şekilde yapılandırılmıştır. Bu tetikleme mekanizması, tespit edilmekten kaçınmak ve kötü niyetli eylemlerini gerçekleştirme komutunu alana kadar gizli kalmak için kullanılır.
“Beacon C2” yöntemiyle karşılaştırıldığında, Trigger C2 yöntemi birkaç yönden ve özellikle iletişim açısından farklılık gösterir.
Bot ve Trigger C2, bir Diffie-Hellman anahtar değişimi kullanarak paylaşılan bir anahtar oluşturur. Bu anahtar daha sonra, daha güçlü bir şifreleme düzeyi oluşturan AES algoritmasını kullanarak ikinci bir şifreleme katmanı oluşturmak için kullanılır.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin