Yakacak odun kötü amaçlı yazılım, komut yürütme ve veri hırsızlığı için Linux sistemlerini hedefler

Intezer’in araştırma ekibi, başlangıçta ESET araştırmacıları tarafından keşfedilen sofistike bir Linux tabanlı uzaktan erişim Trojan (sıçan) olan yakacak odun arka kapısının yeni, düşük tespit edici bir varyantını ortaya çıkardı.

2005 yılına kadar uzanan “Project Wood” kötü amaçlı yazılım soyuyla bağlantılı olarak, yakacak odun, Toohash Operasyonu gibi casusluk kampanyalarıyla ilişkilidir ve Çin uyumlu Gelsemium Apt grubuna düşük güven bağları gösterir, ancak bu çakışmalar çoklu tehdit aktörleri arasında paylaşılan takımlardan kaynaklanabilir.

Yeni varyantın keşfi

Kötü amaçlı yazılım, USBDev.ko gibi çekirdek düzeyinde rootkit modüllerini dağıtır ve komut ve kontrol (C2) sunucuları ile gizli iletişim için çay tabanlı şifreleme kullanır.

Genellikle tehlikeye atılan Linux masaüstlerinde web kabukları aracılığıyla tanıtılan saldırganların keyfi komutlar yürütmelerini, sistem detayları ve kimlik bilgileri dahil olmak üzere hassas verileri yaymalarını ve gizli işlemler için uzun vadeli kalıcılığı korumasını sağlar.

Yeni varyant temel işlevleri koruyor, ancak temel protokolü değiştirmeden kaçınma ve operasyonel verimliliğini artırarak uygulama ve yapılandırmada iyileştirmeler getiriyor.

Güncellenmiş yakacak odun varyantında, önemli değişiklikler başlangıç sırasını ve kaçırma taktiklerini kolaylaştırır.

Yürütme başlangıcında Cuser :: Issuc () aracılığıyla açık bir izin kontrolü uygulayan eski sürümün aksine, yeni yapı bu kapıyı ortadan kaldırarak kök veya terernel doğrulamaları deemonizasyon ve PID tasarrufuna kadar erteliyor.

Bu, eski savePidAndCheckKernel () ‘nin ayrı adımlara bölünmesiyle elde edilir: bir başlangıç SavePID (PID) çağrısı, ardından cmodulecontrol :: autoload () ve checklkmload ().

Teknik Geliştirmeler

Bu tür bir ayırma başlatma işlemini açıklar ve çekirdek modül tabanlı gizlemeyi destekler.

Ağ davranışları da basitleştirildi; Randomize gecikmeler ve yapılandırılabilir aralıklarla (örneğin, işaretler ve gecikme süresi arasındaki günler) önceki çok aşamalı işaretleme, basit bir (gerçek) döngüsü ile değiştirilir.

Yapılandırılmış bir başlangıç gecikmesinden sonra, başarı veya zaman aşımı olana kadar arızalarda kısa uykılarla ConnectTOSVR () ‘i tekrar tekrar çağırır ve temporal gizleme üzerinde güvenilir C2 bağlantısına öncelik verir.

Sistem bilgileri toplama, /etc/issue.net adresine bir geri dönüş ekleyerek işletim sistemi algılama için kullanılamıyorsa, ayrıştırma tutarlı kalır.

Kalıcılık için dosya yolu yapılandırmaları önemli ölçüde farklıdır: kök kullanıcıları artık /etc/udeev/rules.d/90-persistent-Net.rules ve /etc/modprobe.d/usbdev.conf, $ home/.kde4/share4/config/kdeglobals olarak ayarlanan yollar ile $ Home/.

Bu, eski varyantın /etc/udeev/rules.d/70-persistent-net.rules ve /etc/modprobe.d/usb-porage.conf ve kök dışı için $ home/.bashrc ile tezat oluşturuyor.

Komut işleme, yeni varyant, basitleştirilmiş ağları yansıtan 0x111, 0x113, 0x114 (işaret aralığı ayarlamaları) ve 0x201 (dosya-okuma) gibi eski kimlikleri düşürdü.

Rapora göre, işlem saklama 0x112’den ID 0x202’ye geçiş yapar ve Hidemodule kaldırılırken, yeni bir setAutokillel (ID 0x160) Togglable otomatik öldürme işlevselliği sunar.

Bağlantı yapılandırma değişiklikleri için 0x109, cfileControl :: dosya ve sistem çağrıları (0x185’ten farklı) ve 0x195 ile C2 tarafından yapılan dosya yürütme için 0x109 dahil belgelenmemiş komutlar devam eder.

Yöntem adlarında “yok” ve hatalarda “bellek başarısızlığı” gibi kalıcı yazım hataları, önceki yapılardan geçer.

Çekirdek modülünün durumu toplama zorlukları nedeniyle doğrulanmamış olsa da, bu değişiklikler casusluk senaryolarında sürdürülebilirliğe ve uyarlanabilirliğe vurgu yapılmasını önermektedir.

Uzlaşma göstergeleri

AWS Security Services: 10-Point Executive Checklist - Download for Free