Siber güvenlik araştırmacıları, eski botnet yeteneklerini modern saldırı teknikleriyle birleştiren karmaşık bir Linux saldırısını ortaya çıkarıyor.
Yeni keşfedilen bir Linux kötü amaçlı yazılım kampanyası, Mirai’den türetilen dağıtılmış hizmet reddi (DDoS) işlevselliğini gizli, dosyasız bir kripto para birimi madenciliği operasyonuyla birleştirerek tehdit aktörlerinin gelişen karmaşıklığını ortaya koyuyor.
Cyble Research & Intelligence Labs’ın (CRIL) araştırmasına göre, çok aşamalı saldırı x86_64, ARM ve MIPS mimarilerini hedeflerken süreç maskeleme, ham soket taraması ve dinamik çalışma zamanı yapılandırması gibi gelişmiş kaçınma teknikleri kullanıyor.
CRIL analistlerinin takip ettiği kampanya, modern tehdit aktörleri tarafından giderek daha fazla tercih edilen hibrit bir para kazanma stratejisini temsil ediyor.
Operatörler, yalnızca DDoS saldırılarına veya kripto madenciliğine güvenmek yerine, tehlikeye atılmış sistemlerden aynı anda her iki amaç için yararlanarak getirileri en üst düzeye çıkarır.
Bu yaklaşım, bilgi işlem kaynaklarının finansal kazanç için kullanılabildiği, bulut ve İnternet’e açık Linux ortamlarına uyum sağlayan Mirai kökenli tehditlere ilişkin daha geniş bir eğilimi yansıtıyor.
Çok Aşamalı Enfeksiyon Zinciri
Saldırı, uname -m komutunu kullanarak hedef sistemin CPU mimarisini otomatik olarak tanımlayan “Evrensel Bot İndirici” adı verilen kompakt bir kabuk komut dosyasıyla başlıyor.
Bu keşif temelinde, komut dosyası, 103.149.93 adresindeki saldırgan tarafından kontrol edilen sunucudan mimariye özgü bir ikili dosya indirir.[.]224.
Yük, /tmp dizinine yazılır, yürütülebilir izinler atanır ve çeşitli ortamlarda hızlı dağıtım arayan IoT ve bulut hedefleme botnet’leri arasında hemen bir taktik standardı başlatır.
Mddos.x86_64 adlı ikinci aşama verisi, statik analizi zorlaştıran, çıkarılmış sembollere sahip, statik olarak bağlantılı, UPX paketli bir ELF ikili dosyasıdır.
Kötü amaçlı yazılım yürütüldükten sonra çekirdek ve mimari ayrıntılarını topluyor, operasyonel saldırganlığı belirlemek için süreç sınırlarını kontrol ediyor ve kurban makineyi komuta ve kontrol altyapısına kaydediyor.
“xXxSlicexXxxVEGA” yazan bir imza banner’ı STDOUT’a yazdırılarak, daha önce Unit42 tarafından 2023’te belgelenen V3G4 Mirai varyantının davranış kalıplarıyla eşleşiyor.
Kötü amaçlı yazılım, başlatıldıktan sonra meşru systemd-logind sistem arka plan programı kılığına girerek gizli moda geçer.
Proses prctl(2) sistem çağrısını kullanarak /proc/self/cmdline’daki komut satırı görünümünü değiştirmeye çalışır, ancak çekirdek korumaları bu değişikliği engelleyebilir.
Kötü amaçlı yazılım, setid(2)’yi kullanarak herhangi bir kontrol terminalinden ayrılır ve standart giriş/çıkış akışlarını kapatarak, kullanıcı görünürlüğü olmadan arka planda sessizce çalışır.
Botnet, saldırı operasyonlarından, gözlemci denetiminden ve C2 iletişiminden sorumlu birden fazla çalışan iş parçacığı üretir.
Özellikle, 127.0.0.1:63841 üzerinde dahili işlemler arası iletişim kanalı olarak işlev gören bir TCP dinleyicisi kurar.
Bu yerel ana bilgisayar trafiği, kötü amaçlı yazılımın yasal sistem arka plan programları ile karışmasına yardımcı olur ve etkinliği, güvenlik izlemeyi tetikleyebilecek kanallardan veya paylaşılan bellekten daha az şüpheli hale getirir.
Ham Soket Tarama ve C2 İletişimi
Bu varyantın önemli bir özelliği, internet üzerinden yüksek hızlı SSH taraması için ham TCP soketlerinin kullanılmasıdır.
Kötü amaçlı yazılım, SYN paketlerini çok sayıda hedef IP adresindeki 22 numaralı bağlantı noktasına püskürterek, otomatik tarama ve potansiyel kaba kuvvet kampanyaları yürütmek için IPv4 paket başlıklarını manuel olarak hazırlıyor.
Bu davranış, internet çapında SSH tarama işlemleriyle tanınan Mirai’den türetilen botnet aileleriyle yakından eşleşiyor.
Eş zamanlı olarak kötü amaçlı yazılım, kalıcı C2 bağlantıları için canlı tutma seçeneklerine sahip standart TCP yuvaları oluşturuyor.
Birden çok çalışan iş parçacığı www.baojunwakuang C2 alanını agresif bir şekilde çözüyor[.]Google Genel DNS’sine (8.8.8.8) tekrarlanan sorgular yoluyla Asya, 159.75.47 IP adresiyle eşleme[.]123.
Bu çok iş parçacıklı DNS çözümleme stratejisi, Mirai tarzı botnet’lerin ayırt edici özelliği olan saldırıları paralel olarak yürütürken komut kanallarının dayanıklı olmasını sağlar.
Üçüncü aşamada, gelişmiş gizlilik teknikleri aracılığıyla gizli bir XMRig tabanlı Monero madencisini devreye alıyor. Yükleyici, C2 sunucusundan UPX paketli bir XMRig ikili dosyasını alır ve bunu yasal sistem işlemleriyle harmanlamak için /tmp/.dbus-daemon dosyasında saklar.
Statik yapılandırma dosyalarını içeren tipik dağıtımların aksine, bu madenci, yapılandırmasını çalışma zamanında dinamik olarak alır; bu, diskteki yapıtları önleyen ve adli analizi engelleyen dosyasız bir yaklaşımdır.
Yürütme sırasında madenci, C2 sunucusuna geri bağlanır ve yapılandırma verilerini talep ederek havuz URL’lerini, cüzdan adreslerini, algoritma özelliklerini ve iş parçacığı sayılarını içeren bir JSON blobu alır.
Bu teknik, operatörlerin statik analiz sırasında cüzdan bilgilerini açığa çıkarmadan madencilik parametrelerini dinamik olarak döndürmesine olanak tanır ve güvenlik araştırmacıları için tespit ve ilişkilendirmeyi daha zorlu hale getirir.
Bu kampanya, geleneksel botnet yeteneklerinin modern kripto para madenciliği operasyonlarıyla yakınsamasına örnek teşkil ediyor.
DDoS işlevselliğinin XMRig tabanlı madencilikle harmanlanması, tehdit aktörlerinin ele geçirilen cihazlardan elde edilen yatırım getirisini en üst düzeye çıkarmaya odaklandığını yansıtıyor.
Linux sunucuları, bulut iş yükleri veya açıktaki IoT cihazlarını çalıştıran kuruluşlar, aynı anda hem hizmetleri kesintiye uğratabilecek hem de bilgi işlem kaynaklarını tüketebilecek bu tür hibrit tehditlerden kaynaklanan yüksek riskle karşı karşıyadır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.