Red Canary’den yeni bir rapor, bir kusurdan yararlanan ve daha sonra diğer bilgisayar korsanlarının girmesini önlemek için yamalayan DripDropper adlı akıllı bir Linux kötü amaçlı yazılımını ortaya koyuyor. Bu taktiğin nasıl çalıştığını öğrenin.
Siber güvenlik firması Red Canary’nin yeni bir raporu, bilgisayar korsanlarının kritik bir güvenlik açığından yararlandığını ve daha sonra diğer saldırganları kilitlemek için yamaladığını ortaya koyuyor. Hackread.com’a sağlanan Red Canary Tehdit İstihbarat Ekibi’nden yapılan araştırma, şirketin DripDropper adlı yeni bir Linux kötü amaçlı yazılımını ortaya koyuyor ve rakiplerin bulut sunucularında gizli erişim elde etmek ve sürdürmek için nasıl kullandıklarını detaylandırıyor.
Saldırı, Apache Activemq adlı yaygın olarak kullanılan bir yazılım parçasında iyi bilinen bir güvenlik kusuru olan CVE-2023-46604’ten yararlanmakla başlar. Bu program, farklı bilgisayar sistemlerinin birbirleriyle konuşmasına yardımcı olan bir araç için süslü bir terim olan bir “Mesaj Aracısı” dır. Bir süredir bir yama mevcut olmasına rağmen, birçok sistem hala savunmasızdır ve bilgisayar korsanları ilk erişimi elde etmek için bu zayıflıktan yararlanmaktadır.
“Burada Activemq’te sömürülen kritik güvenlik açığı neredeyse üç yaşında olsa da, rakipler hala Godzilla Webshell ve Ransomhub fidye yazılımı gibi yükleri yürütmek için kırılganlıktan yararlanıyor ve bu da önümüzdeki 30 gün içinde sömürülme olasılığı, EPS skoruna göre,” araştırmacılarının dikkate alınması.
Kalıcılık stratejisi
Bir dayanak kazandıktan sonra, bilgisayar korsanları iki ana araç kurar. Birincisi, güvenliği ihlal edilmiş bilgisayar üzerinde gizli, sınırsız kontrol sağlayan bir araç olan Sliver adlı kötü niyetli bir yazılımdır.
Daha sonra saldırgan tarafından kontrol edilen bir Dropbox hesabına bağlanan bir indirici (Dipdropper) kullanırlar. Bu kötü amaçlı yazılım, bir şifre gerektiren şifreli bir dosyadır ve güvenlik analistlerinin incelemesini zorlaştırır.
Ancak saldırının en şaşırtıcı kısmı daha sonra geliyor. Kontrollerini kurduktan sonra, bilgisayar korsanları, sömürdükleri güvenlik açığı için meşru bir yama indirmek için ortak bir internet komutu kullanırlar.
Sistemi yamalayarak, esasen içeri girdikleri kapıyı kapatarak diğer suçluların aynı zayıflıktan yararlanmasını engelliyorlar. Bu akıllı hareket, kavramalarının özel kalmasını sağlar ve savunucuların saldırıyı orijinal giriş noktasına kadar izlemesini zorlaştırır.
Uzun süreli erişim sağlamak için, damla damlalı kötü amaçlı yazılım, kök girişlerine izin verecek ve kendini çalıştırmaya devam etmek için sistem dosyalarını değiştirir. Kötü amaçlı yazılım ayrıca, rastgele, sekiz karakterli bir adla ikinci bir dosya bırakır ve bu da daha fazla talimat için saldırganların dropbox’ıyla da iletişim kurar.
Araştırmacılar, Dropbox gibi halka açık platformların kullanılmasının, Chimneysweep, Mustang Panda ve Whispergate gibi diğer kötü amaçlı yazılım aileleri tarafından da kullanılan yaygın bir taktik olduğunu belirtti.
Bu bulgular, temiz bir güvenlik açığı taramasının her zaman bir sistemin güvenli olduğu anlamına gelmediğini vurgulamaktadır. Bir tarama bir sistemin yamalı olduğunu gösterebilir, ancak nasıl veya kim tarafından ortaya çıkmaz. Bu, bulut günlüklerinin tutarlı yama ve dikkatli izlenmesi de dahil olmak üzere çok katmanlı bir güvenlik yaklaşımı gerektiği anlamına gelir. Raporda ayrıca, CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğu gibi kaynakların önce hangi kusurların düzeltileceğine öncelik verilmesine yardımcı olması önerilmektedir.
“İki bilgisayar virüsü grubunun aynı yazılım güvenlik açığını kullanarak küresel kontrol için mücadele ettiği 1990’larda belki de bir kez daha önce, içeri girdiği güvenlik açığını yamalayan otomatik kötü amaçlı yazılım duyduğumdan emin değilim. Bununla birlikte, insan korsanlarının girdiği ve istismarları yamaladığı yıllar boyunca birkaç danışmanlık sözleşmesine katıldım,“ dedi Roger Grimes, Knowbe4’te veriye dayalı savunma evanjelisti.
“Bir kez, Microsoft’la birlikteyken, Microsoft’un uygulanmayacağını yapılandırdıkları bir yama uyguladığı için deli olan bir müşteriye danışmak için işe alındım. O zamanlar tartışmalı bir yama idi (mobil medya bir bilgisayara eklendiğinde Microsoft Windows’taki varsayılan Autorun özelliğini devre dışı bıraktı” diye açıkladı.
“Birçok müşteri Microsoft’un Autorunları devre dışı bıraktığı için deliydi, bu nedenle Microsoft, belirli bir ilgili kayıt defteri girişi etkinleştirildiyse yamayı otomatik olarak dağıtılmayacak şekilde yapılandırdı. Bu belirli müşteri için, yama uygulamaya devam etti. Daha sonra yamayı kaldıracaklar, ilgili kayıt defteri girişinin yapıldığından emin olacaklar ve daha sonra yamayı yeniden uygulamak için ertesi gün geri geleceklerdi. Oğlum, deliydiler. “
“Geldiğimde, bir hacker grubunun güvenlik açığını kullanmada kırıldığını çabucak keşfettim ve diğer grupları önlemek için Autoruns özelliğini devre dışı bırakmak için yamayı uygulamaya çalışıyorlardı. Boy, müşterinin mea culpa hissetmesidir.”
“O zaman dedim ve şimdi söyleyeceğim,“ Hackerlar yamayı senden daha hızlı yapıyorsa, doğru yapmıyorsun! ” Bu, yönetici katılımı olmadan varsayılan otomatik yama için başka bir argüman.