Tehdit av takımları nasıl ve neden Linux kötü amaçlı yazılım saldırılarını araştırıyor

   Nisan 15, 2025  Posted in CyberSecurityNews


Linux kötü amaçlı yazılımları araştırın

Linux siber tehditler pencerelerden daha az yaygındır, ancak onları daha da tehlikeli hale getirebilir. Azalan ve yetersiz beklenen, arkadaki uç noktaları ve ağları bıçaklayarak operasyonel bozulma ve finansal kayıp getiriyorlar.

Bireysel masaüstü kullanıcılarının, Windows sistemleri için tasarlanandan daha az Linux’a özgü kötü amaçlı yazılım tarafından hedeflendiği doğrudur.

Hala öyle olmalarına rağmen. Ancak, risk kurumsal altyapısını riske atan, tüm endüstrileri ve tedarik zincirlerini tehdit eden Linux destekli sunucuları hedeflemek çok daha üretkendir.

Google Haberleri

Tehdit İstihbaratı ile Linux kötü amaçlı yazılımları keşfetmek

Bu, şirketlerin herhangi biri gibi proaktif güvenlik için uygun araçları kullanmasını özellikle önemli hale getirir. Tehdit İstihbarat Arama Ve İnteraktif kum havuzu.

Tehdit İstihbarat Arama Başlangıç ​​Sayfası: Arama Çubuğu’nu tıklayın ve sorgu parametrelerine bakın

Ti Lookup, en son kötü amaçlı yazılımlardan çıkarılan tehdit verilerini ve dünyanın dört bir yanındaki 500.000’den fazla profesyonel ve 15.000 şirket tarafından analiz edilen kimlik avı örneklerini aramanızı sağlar.

Saldırı ve olayları araştırmak için en iyi araçlardan biridir. Keşfedebileceğiniz IOCS, IOAS ve IOB’lerin aranabilir bir deposu, Windows ve Linux kötü amaçlı yazılım ve kampanyalar hakkında yeterli taze veri içeriyor.

Bu veriler, izleme ve algılama sistemlerinin ayarlanmasının yanı sıra tehdit peyzaj analizi, gelişen kötü amaçlı yazılımları izlemek ve stratejik düzeyde sorunları önlemek için kullanılabilir.

TI Aramaya 50 Deneme Talebi ile Altyapınızı hedefleyen tehditleri araştırmaya başlayın: Any.run ile iletişime geçin.

Kimlik: IOC anahtar olarak

Şüpheli bir IP, kötü niyetli aktiviteyi tanımlamak için yeterli olabilir ve işte böyle çalışır. Ti Lookup aracılığıyla ağda yeni bir tespiti kontrol edelim:

Hedef: ”176.65.144.253 ″

IP sonuçlarına göre arama bir botnet ortaya çıkar

Arama sonuçlarında ne görüyoruz?

  1. IP kötü niyetli olarak işaretlendi ve Moonbot’un bir parçası – en popüler Linux botnet olan Mirai’nin bir çeşidi.
  2. IP taze Mirai örneklerinde tespit edilir, bu nedenle bu aktif ve önemli bir tehdit göstergesidir.
  3. IP, bağlantı noktaları, alan adları ve URL’ler dahil olmak üzere bir dizi diğer uzlaşma göstergesiyle bağlantılıdır ve ayrıca birkaç Suricata kuralını tetikler.

Tüm bu veriler, bu tehdidi önceden tespit etmek için proaktif savunmayı zenginleştirmek için kullanılabilir.

Önleme: Gelişen tehditlerle ilgili güncellemeler

Proaktif koruma, saldırılardan kaçınmayı ve hasar vermeyi ima eder. Ortak bir tehdidin ülkemizdeki diğer şirketlerin altyapısını ve şu anda tam olarak nasıl yaptığını hedeflediğini görebiliriz.

Diyelim ki biz Almanya’dan bir işiz. Ülke adı, tehdit türü (botnet) ve Ubuntu OS sürümünü bir TI arama arama sorgusunda birleştireceğiz.

OS: ”22.04.2 ″ ve TehditName:“ Botnet ”ve SubmissionCountry:” De ”

Arama sonuçlarında “Analizler” sekmesine geçiyoruz ve kamuya açıklanan binlerce kötü amaçlı yazılım örneğini görüyoruz.

Şu anda Almanya’da Ubuntu uç noktalarını hedefleyen botnetleri aramak

Analizlerden herhangi birini açmadan önce bile, eyleme geçirilebilir bir içgörü alıyoruz:

  • Ülkemizdeki Linux merkezli uç noktalar şu anda birkaç botnet tarafından aktif olarak tehdit ediliyor.
  • Bunlar arasında Mirai, Prometei ve Gafgyt var.
  • Gafgyt ve Mirai, zayıf SSH şifreleri olan IoT cihazlarını hedeflemeyi tercih ettikleri ve Prometei OS güvenlik açıklarından yararlanıyor, – bunlar, ağ altyapımızda kontrol etmemiz gereken potansiyel zayıf noktalardır.

Araştırma: Proaktif Koruma Verileri

Önceki örnekten doğru bir şekilde keşfedersek görebileceğimiz gibi, – Popüler Linux Botnet kötü amaçlı yazılım genellikle SSH güvenlik açıklarından yararlanır. İnternete maruz kalan SSH hizmetlerine sahip sistemleri tanımlamak için kullanılan bir teknik olan SSH taramasını kullanır.

Bu işlem genellikle açık SSH bağlantı noktalarını (genellikle bağlantı noktası 22) tespit etmek ve yetkisiz erişim elde etmeye çalışan IP adreslerinin taramalarını tarayan otomatik araçları veya komut dosyalarını içerir. .Elf formatının dosyaları çok sık bu tür faaliyetlerde bulunur.

Tehdit İstihbarat Araması Tehdit Talebi, SSH bağlantı noktalarını tarayan ve .Relf dosyalarını (Linux Yürütülebilir Biçim) ile ilişkilendiren son kötü amaçlı yazılım örneklerini bulmamıza yardımcı olur:

Filepath: ”. Elf” ve tehdit adı: “SSHSCAN”

Ti Lookup aracılığıyla bulunan SSH Scan’ı devreye sokan kötü amaçlı yazılım

Neden önemlidir:

  • Tehdit istihbarat verilerinde kötü amaçlı etkinlik (örneğin SSH taraması) ile ilişkili .FL dosyalarını görürseniz, saldırganların Linux ortamlarını aktif olarak hedeflediği açık bir sinyaldir.
  • Bu tür örnekleri analiz etmek, hangi bağlantı noktalarının, protokollerin ve saldırı senaryolarının kullanıldığını ve erişim girişimlerinin nereden geldiğini anlamanıza yardımcı olur.
  • IOC’leri numunelerden çıkarabilirsiniz: tarayıcı IP adresleri, .elf dosyalarının karmaları, komut satırı dizeleri, C2 sunucu alanları.

Linux sistemlerini proaktif olarak korumak için tehdit istihbarat verileri nasıl kullanılır

Tehdit istihbarat araması ile size getirilen IOCS, IOBS ve IOA’lar güvenlik duvarlarını, NIDS/NIPS sistemlerini, EDR/Antivirüs araçlarını, SIEM kurallarını ve uyarıları yapılandırmak için kullanılabilir.

TI verilerine dayanarak, benzer .Relf dosyalarını algılamak için YARA kurallarını güncelleyebilir, tehdit avcılık kurallarını ayarlayabilir (örn., Kara listelenen IP’lerden SSH bağlantı denemelerini günlüğe kaydetme) ve bir saldırgan zaten ağınızın içindeyse yanal hareketi izleyebilirsiniz.

Bu tür numunelerin sayısı artıyorsa, devam eden bir kampanya veya saldırı dalgası gösterebilir. Bu, işi uyarmanıza ve proaktif önlemler almanıza olanak tanır: ağ segmentasyonu, SSH kimlik doğrulamasını güçlendirme, gelen bağlantıları daha yakından izleme.

Çözüm

Linux tehdit avında tehdit istihbaratının ilgilenmesinin iş etkisi açıktır:

  • SSH taraması ile kötü amaçlı yazılım gibi tehditlerin erken tespiti, hasar meydana gelmeden önce saldırıları engellememizi sağlar ve yüksek maliyetli olay yanıtından kaçınır.
  • Tehdit istihbaratı, potansiyel gelir kaybını doğrudan azaltma ve yanıtlama için ortalama süreyi azaltarak proaktif olarak harekete yardımcı olur.
  • Hassas sistemlerin proaktif olarak korunması, uyumsuzluk cezalarını önlemeye yardımcı olur.
  • Gerçek tehditlere odaklanmak, SoC zamanının ve bütçenin daha iyi kullanımı anlamına gelir.
  • Hedeflenen Linux tabanlı tehditlerin önünde kalmak, bir kuruluşu siber güvenliğe değer veren olgun ve sorumlu bir iş olarak gösterir.

Risklerinizi anlamak için araştırmanıza Linux hedefleme tehditleri üzerine başlayın: 50 deneme ti arama isteği kullanın.



Source link