Sunucular ve bulut bilgi işlem altyapıları, yaygın olarak popüler bir işletim sistemi olan Linux tarafından desteklenmektedir. Ve son zamanlarda Intezer’deki siber güvenlik araştırmacıları tarafından OrBit olarak adlandırılan yeni ve tamamen tespit edilmemiş bir Linux tehdidi keşfedildi.
İhtiyaca göre kalıcı implant veya uçucu implant olarak takmak mümkündür. Kötü amaçlı yazılım, bilgisayardaki önemli işlevleri birbirine bağlayarak gelişmiş kaçırma tekniklerini kullanır. Tehdit aktörlerine sağlanan özellikler arasında: –
- SSH üzerinden uzaktan erişim yetenekleri
- Hasat bilgileri
- TTY komutlarını günlüğe kaydeder
Bu, başlatılmış yeni işlemler de dahil olmak üzere makinede çalışan tüm işlemlerin, yüklendikten sonra kötü amaçlı yazılım tarafından etkileneceği noktadır.
Teknik Analiz
LD_PRELOAD ortam değişkenini değiştirerek paylaşılan kitaplıkları ele geçiren diğer tehditlerin aksine, bu kötü amaçlı yazılımın kötü amaçlı kitaplığı yüklemesinin iki yolu vardır.
Burada aşağıda iken bu iki yoldan bahsettik: –
- İlk adım olarak, paylaşılan nesne yapılandırma dosyasına eklenebilir.
- İkinci olarak, kötü amaçlı paylaşılan nesneyi yüklemek için yükleyicinin ikili dosyasını yamalayabiliriz.
Yüklemenin ardından, dropper, kötü amaçlı yazılımın çalışması için ortamı oluşturur ve yükü ortama yükler. Komut satırında sağlanan argümanlara dayanarak, yükü yukarıda belirtilen konuma göre tercih edilen konuma çıkarır.
Göre bildiriKurulum yolunu komut satırı argümanları aracılığıyla değiştirmek ve ayrıca komut satırı argümanlarını kullanarak yükü tamamen güncellemek veya kaldırmak mümkündür.
Gizli Kötü Amaçlı Yazılım
BPFDoor, Symbiote ve Syslogk’tan sonra OrBit’in artık dördüncü olduğu biliniyor. Linux kötü amaçlı yazılımı kısa bir süre içinde son üç ay içinde ortaya çıkması.
Symbiote gibi, kötü amaçlı yazılım da yayılmak için güvenliği ihlal edilmiş makinede çalışan tüm süreçleri hedefler. Yük dosyasını (“libdl.so”) sunucudan çıkarmak için saldırı zincirini başlatmak için bir ELF dropper dosyası kullanılır.
OrBit’in fark edilmeden çalışabilmesini sağlayan birkaç gizli yöntem kullandığını da belirtmek önemlidir. Sonuç olarak bu yöntemler kalıcılığı sağlayabilmekte ve virüsün bulaştığı bilgisayarlardan temizlenmesini oldukça zorlaştırmaktadır.
Bu kötü amaçlı yazılımla ilgili özellikle ilginç bir şey var, çünkü saldırdığı makinede kitaplıklara neredeyse hermetik bir şekilde bağlanıyor.
Sonuç olarak, kötü amaçlı yazılım kalıcı hale gelebilir, tespitten kaçabilir ve bilgi çalabilir ve ayrıca kötü amaçlı yazılım için bir arka kapı oluşturabilir. SSH protokolü süreç içerisinde.
Güvenlik araçları, Linux’u hedef alan gelişen tehditlere ayak uyduramazken, aynı anda Linux’u hedef alan tehditlerin radarı altında kalıyor.
Yöntemlerinde son derece kaçamak ve kalıcı olabilen birçok yeni kötü amaçlı yazılım örneği vardır ve OrBit böyle bir örnektir.
IoC’ler
Doğramak | Dosya |
f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8 | damlalık |
40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020 | yük |