AT&T Alien Labs araştırmacıları, Linux sistemlerine gizli bir şekilde bulaşabilen Shikitega adlı yeni bir gizli Linux kötü amaçlı yazılımı keşfettiler. Ek yüklerle, bu Linux kötü amaçlı yazılımının birincil hedefi Linux tabanlı sistemler ve IoT cihazlarıdır.
Kötü amaçlı yazılım, güvenlik açıklarından yararlanmaya ek olarak, ayrıcalıkları yükseltmek için açıklardan yararlanarak crontab aracılığıyla ana bilgisayara kalıcılık ekler. Daha sonra, enfeksiyonun bir sonucu olarak virüslü bir cihaza bir kripto para madenciliği kurulur.
Gizli bir kötü amaçlı yazılım olduğu için Shikitega’nın anti-virüs yazılımı tarafından algılanmasından kurtulması oldukça kolaydır. Bu kötü amaçlı yazılım, algılamadan kaçınmak için polimorfik bir kodlayıcı kullanır; bu, üzerinde herhangi bir statik, imza tabanlı analiz yapılmasının imkansız olduğu anlamına gelir.
Enfeksiyon zinciri
Bu kötü amaçlı yazılım, ana veya birincil damlalık görevi gören ELF adlı çok küçük bir dosyanın kullanılması yoluyla yayılır. Toplamda, kod yaklaşık 300 bayt alırken, toplam boyut yaklaşık 370 bayttır, bu nedenle program oldukça küçüktür.
Bu noktada, enfeksiyonun ilk kez yayıldığı kesin yöntemi bilmiyoruz. Kötü amaçlı yazılım bulaşma sürecinde, her katmanın hedefe yalnızca birkaç yüz bayt gönderdiği birden fazla adım vardır.
Bir modülü etkinleştirmek için basit bir modülü etkinleştirmeniz ve ardından bir sonraki modüle geçmeniz gerekir. Dropper dosyası olan ELF dosyasında kodlanmış bir kabuk kodu vardır.
Kodlama işlemi için Shikata Ga Nai adlı bir katkılı geri besleme kodlayıcı kullanılır. Verilerin kodunu çözmek için, kötü amaçlı yazılım kodlayıcıyı kullanarak birkaç kod çözme döngüsünden geçer.
Kodlayıcı saplaması oluşturmak için dinamik bir komut ikamesi ve bir dinamik blok sıralaması kullanılır. Buna ek olarak dinamik bir kayıt seçimi de gerçekleştirilir.
Kötü amaçlı yazılımın C2’si ile iletişim kurmak için şifre çözmenin ardından bir kabuk kodu yürütülür. Kabuk kodunu (komutları) aldıktan sonra, bellekten ek kabuk kodu çalıştırmak için kullanılırlar.
“Mettle” olarak bilinen bir Metasploit Meterpreter yükü bu komutlardan biri aracılığıyla indirilir ve yürütülür. Bir ana bilgisayar daha sonra uzaktan kontrol edilebilir ve bir saldırgan tarafından kod çalıştırılabilir.
Mettle programı daha küçük bir ELF dosyası alacak şekilde yapılandırılmıştır ve aşağıdaki güvenlik açıklarından yararlanır:-
- CVE-2021-4034 (diğer adıyla PwnKit)
- CVE-2021-3493
Bu kusurların bir sonucu olarak, aşağıdaki istismarlar gerçekleştirildi:-
- Ayrıcalıkları yükseltin
- Son aşamanın yükü buradan indirilir
- Kök olarak bir kripto para madenciliği kurun
Kullanılan Komut Dosyaları
Aşağıda, kalıcılığı sağlamak için kullanılan tüm komut dosyalarından bahsettik: –
- unix.sh: Sistemde “crontab” komutlarının olup olmadığını kontrol edin, yoksa kurun ve crontab servisini başlatın.
- brict.sh: Mevcut kullanıcının kripto madencisini çalıştırması için crontab ekler.
- politrict.sh: Cryptominer’ı yürütmek için kök crontab’ı ekler.
- truct.sh: Mevcut kullanıcının cryptominer’ı indirmesi ve C&C’den yapılandırması için crontab ekler.
- kısıtlama.sh: Kripto madencisini indirmek ve C&C’den yapılandırmak için kök crontab ekler.
Öneriler
Aşağıda, siber güvenlik analistleri tarafından önerilen tüm önerilerden bahsettik: –
- Yazılımın en son güvenlik yamalarıyla güncellendiğinden emin olun.
- Tüm uç noktalarda EDR yazılımının yanı sıra anti-virüs yazılımının kurulu olduğundan emin olun.
- Sunucu dosyalarınızın yedeklendiğinden emin olmak için bir yedekleme sistemi kullanmalısınız.
- Sağlam bir güvenlik stratejisine sahip olduğunuzdan emin olun.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap