Cado Labs’deki güvenlik uzmanları, yakın zamanda, özellikle savunmasız Redis dağıtımlarını hedefleyen yeni bir kripto para çalma operasyonunu ortaya çıkardı. Bu kampanyanın ana unsuru, transfer adı verilen bir komut satırı dosya aktarım hizmetinin kullanılmasıdır.[.]Hem açık kaynaklı hem de ücretsiz olarak kullanılabilen sh.
Hizmet, birkaç yıldır çalışır durumda olmasına rağmen, GitHub deposuna 2014 gibi erken bir tarihte yapılan ilk taahhütlerle, kötü amaçlı yazılım yaymak için kullanıldığı durumlar nadirdir.
Cado Labs tarafından toplanan telemetri verilerine göre, 2023 yılının başından bu yana fark edilen hizmet kullanım sıklığındaki artışla birlikte trendde bir değişiklik var gibi görünüyor.
transfer.sh’ye olan eğilimin arkasındaki nedenler şu anda belirsiz. Bununla birlikte, bu hareketin, pastebin.com da dahil olmak üzere tipik kod barındırma alan adlarını belirlemeye dayanan tespit tekniklerinden kaçınmak için bir strateji olma olasılığı vardır.
Cado Labs, bulut tabanlı sistemleri hedef alan birkaç kötü amaçlı yazılım kampanyasını inceledikten sonra, bu saldırılarda kabuk betiklerinin yaygın olarak kullanıldığını tespit etti. Bunlar arasında, özellikle cryptojacking kampanyaları, büyük ölçüde kabuk betiklerine dayanıyor gibi görünüyor.
Bu kötü amaçlı yazılım kampanyalarının birçoğunda, saldırganların yükleri almak için Linux’taki popüler veri aktarım yardımcı programlarını kullanma eğiliminde olduğu gözlemlenmiştir. Bunun ışığında, Transfer[.]sh, uzun vadede uygun bir alternatif olarak Pastebin gibi platformların yerini alabilir.
İlk Erişim
Saldırganlar, kampanyanın yürütülmesi için gereken ilk erişimi elde etmek amacıyla savunmasız bir Redis dağıtımından yararlandı. Spesifik olarak, bir cron işi oluşturdular ve onu veri deposuna kaydettiler.
Bunu yaparak, Redis’i veritabanı dosyasını doğrudan cron işlerini çalıştırmak için kullanılacak alt dizinlerden birine kaydetmeye zorlayabildiler.
Bir dizindeki dosyaları cron zamanlayıcısı tarafından okuma ve ayrıştırma işlemi, veritabanı dosyası bir cron işi olarak dahil edildiğinde rasgele komut yürütülmesine yol açabilir.
TeamTNT ve WatchDog gibi diğer siber suç gruplarının kripto para hırsızlığı yoluyla kripto para madenciliği yapma çabalarında aynı saldırı tekniklerini kullandığını belirtmek önemlidir.
Teknik Aanaliz
Kötü amaçlı yazılımın birincil amacı, kurbanın güvenliği ihlal edilmiş sisteminde kripto para madenciliği yapmaktır, bu nedenle komut dosyası, donanımın optimum kullanımını garanti etmek için bir dizi ön prosedür başlatır.
Ayrıca betik, çekirdeği şu anda bellek arabelleklerinde bulunan verileri diske yazmaya zorlamak için Linux “sync” komutunu kullanır.
Kötü amaçlı yük, bir XMRig kripto para madenciliği programının habercisi olarak hizmet veren bir komut dosyası içerir. Bununla birlikte, madencilik işlemini başlatmadan önce komut dosyası, aşağıdakiler de dahil olmak üzere birkaç ön eylem yürütür:-
- Belleği boşaltmak
- Rakip madencilik programlarını kapatma
- pnscan olarak bilinen bir ağ tarama aracının yüklenmesi
Bir sonraki adım, daha sonra diske kaydedilen benzersiz bir XMRig yapılandırması oluşturmayı içerir. Bu özel yapılandırma, madencinin birkaç kripto madenciliği madencisi ile bağlantı kurmasını sağlar.
Son aylarda Redigo ve HeadCrab, Redis sunucularını hedef alan siber tehditler arasındaydı ve şimdi bu son gelişmeyle bu tür saldırıların listesi büyümeye devam ediyor.
Önemli bir süredir, kötü amaçlı yazılım geliştiricileri, ek yükleri barındırma aracı olarak ücretsiz dosya veya kod barındırma hizmetlerini kullanıyor. Bu yaklaşım, siber suçluların yasa dışı faaliyetlerinde daha fazla anonimlik ve esneklikle çalışmasına olanak tanır.
Bu kötü amaçlı yazılım kampanyasının birincil amacı, açıkça kripto para birimleri madenciliği yapmak için bilgi işlem kaynaklarını ele geçirmektir. Ancak, bu kötü amaçlı yazılımın bir sisteme bulaşmasından da istenmeyen bir sonucun ortaya çıkabileceğini belirtmekte fayda var.
Uzlaşma Göstergeleri (IoC’ler)
| Dosyalar | SHA-256 |
| .cmd | 202ce93435f78009995f57eded544959884258f96d178173a54eee47f16e8834 |
| .O | c43191f98eb5b5ef792e19089317e4ec411c696c3bf501b17f27bfad4b75eb1e |
| URL’ler |
| hxxps://aktarım[.]sh/mtKUQC/çalıştır[.]sh |
| hxxps://aktarım[.]sh/QQcudu/tmp[.]fDGJW8BfMC |
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin