AhnLab Güvenlik İstihbarat Merkezi (ASEC), DDoS kötü amaçlı yazılımının yeni bir türünü ortaya çıkardı: cShellkötü yönetilen Linux SSH sunucularını (ekran ve hping3) hedefliyor.
Kötü amaçlı yazılım, zayıf SSH kimlik bilgilerinden yararlanıyor ve karmaşık DDoS saldırılarını gerçekleştirmek için Linux araçlarından yararlanıyor. Bu gelişme, güvenliği zayıf sistemlerden yararlanan kötü niyetli aktörlerin oluşturduğu büyüyen tehdidin altını çiziyor.
İlk Erişim ve Bulaşma Süreci
ASEC’in balküplerini izlemesi, saldırganların kamuya açık SSH hizmetlerini taradığını ve erişim sağlamak için kaba kuvvet tekniklerini kullandığını ortaya çıkardı.
İçeri girdikten sonra aşağıdaki gibi araçları yüklemek için komutları kullanırlar: kıvırmak ve adı verilen bir kötü amaçlı yazılım türü KARM.
Linux dağıtımına bağlı olarak kurulum, aşağıdaki gibi paket yöneticileri kullanılarak gerçekleştirilir: uygun, tatlımveya apk. Özellikle, bu işlem sırasındaki hata mesajları Almanca olarak yazılıyor ve olası bir kaynak veya operasyonel ipucu öneriyor.
Kötü amaçlı yazılım kendisini /etc/de/cARM dizini kullanır ve adlı bir yapılandırma dosyasını kullanır. sshell.service aracılığıyla kalıcı bir hizmet olarak kaydolmak için systemctl emretmek. Bu, kötü amaçlı yazılımın sistem yeniden başlatıldıktan sonra bile etkin kalmasını sağlar.
Geleneksel DDoS botlarının aksine cShell mevcut Linux yardımcı programlarına güveniyor ekran Ve hping3 saldırılarını gerçekleştirmek için:
- Ekran: Birden fazla terminal oturumunu yönetmeye yönelik, terminal kapalı olsa bile görevlerin arka planda çalışmasına izin veren bir yardımcı program. cShell bunu “eşzamanlı” oturum adı altında komutları yürütmek için kullanır.
- Hping3: Ağ teşhisi için kullanılan bir paket oluşturma ve analiz aracı. cShell, çeşitli DDoS saldırı türleri için TCP, UDP ve ICMP paketleri gönderme yeteneğinden yararlanır.
Kötü amaçlı yazılım bu araçları aşağıdaki gibi komutları kullanarak yükler:
# bash -c apt -y install curl && apt -y install hping3 && apt -y install screenDaha sonra yürütülür hping3 aracılığıyla komutlar ekran SYN taşkınları, ACK taşkınları ve UDP taşkınları gibi saldırıları başlatmak için oturumlar. Bu saldırılar, maksimum hızda yüksek hacimli paketler göndererek hedeflenen sunucuları zorlar.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
cShell’in Temel Özellikleri
Asec araştırmasına göre, Go programlama dili kullanılarak oluşturulan ve güncelleme işlevi içeren cShell’e altı DDoS talimatı entegre ediliyor. Komuta ve kontrol (C&C) sunucusuyla etkileşime girerek talimatları alır. Desteklenen komutlardan bazıları şunlardır:
- SYN Flood:
hping3 -S -d -p--flood - ACK Sel:
hping3 -A -d -p--flood - UDP Taşkını:
hping3 -2 -d -p--flood - Gibi bayrakları kullanan özel DDoS saldırıları
-FXYAP.
Kötü amaçlı yazılım ayrıca güncelleme işlemi sırasında birden fazla Pastebin URL’sine bağlanarak kendisinin en son sürümünü indirir. kıvırmak. Bu yedeklilik, bazı C&C sunucuları kapatılsa bile operasyonun devam etmesini sağlar.
Koruma Önerileri
Linux sunucularını yöneten yöneticilerin bu tür tehditlere karşı savunma yapmak için proaktif önlemler alması tavsiye edilir:
- SSH hesapları için güçlü, benzersiz şifreler kullanın ve bunları düzenli olarak değiştirin.
- Sistemleri en son güvenlik yamalarıyla güncel tutun.
- Yetkisiz erişimi kısıtlamak için güvenlik duvarları ve diğer güvenlik araçlarını kullanın.
- Olağandışı davranışlara veya yetkisiz kurulumlara karşı sunucu etkinliğini izleyin.
- Kötü amaçlı yazılım bulaşmalarını proaktif olarak engellemek için V3 gibi antivirüs çözümlerini güncelleyin.
Güvenliği zayıf olan Linux sistemleri, DDoS kampanyaları için botnet oluşturmaya çalışan saldırganların ana hedefi olmaya devam ediyor.
Yöneticiler sıkı güvenlik önlemleri uygulayarak riskleri azaltabilir ve altyapılarını kötüye kullanıma karşı koruyabilir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin