Cyble Tehdit İstihbarat Araştırmacıları, kripto para madenciliği, uzaktan komuta yürütme ve düzinelerce DDOS saldırısı türü için inşa edilmiş sofistike bir Linux botnet belirlediler.
Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) araştırmacıları “Luno” kampanyasını adlandırdılar. Kötü amaçlı yazılım ayrıca, araştırmacılar bir blog yazısında yazdı.
“Geleneksel kriptominerlerden veya DDOS botnetlerinden farklı olarak, Lunoc2, maskelenme, ikili değiştirme ve kendi kendine güncelleme sistemi sergiliyor, bu da kötü amaçlı yazılımın uzun vadeli bir cezai altyapı aracı olarak tasarlandığını gösteriyor” dedi.
DDOS Hizmetleri Satan Linux Botnet Aktör
Cyble, kötü amaçlı yazılımların arkasındaki tehdit aktörleri bilinmemekle birlikte, Luno aktörünün Temmuz ayı sonlarında oluşturulan bir telgraf kanalında aktif olarak DDOS hizmetleri sattığını söyledi.
Cyble, Lunoc2’nin mimarisi ve fiyatlandırma modeli “uzun vadeli para kazanma ve operasyonel esneklik niyetini öneriyor” dedi.
DDOS özellikleri, roblox, minecraft ve valf sunucuları için açık hedef rutinleri olan hedef, yöntem, zaman ve iş parçacığı gibi ayarlanabilir parametreleri içerir ve kiralık bir model önerir.
Kötü amaçlı yazılım, XMRIG madencisini Main’den indirir[.]botnet[.]dünya ve onu /bin /kül olarak kurtarır. Cyble, gömülü Linux dağıtımlarında yaygın olarak bulunan meşru kül kabuğunun (Almquist Shell) değiştirilmesi, “kötü amaçlı yazılımın, Ash’in varsayılan kabuk olduğu kripto para madenciliği için kaynak kısıtlı sistemleri özel olarak hedeflediğini göstermektedir” dedi Cyble.
Anti-analiz özellikleri arasında hata ayıklayıcı/izleyici algılama, takım algılama, anomaliler için NIC arayüzlerini kontrol eden ağ arayüzü algılama ve yürütme gecikmesini tespit etmek için zamanlama kontrolleri bulunur. Araştırmacılar, “Bunu yürütme ortamını inceleyerek yapıyor” dedi. “Bir anomali tespit edilirse, kendini diskten kendi kendine düşürmeye çalışır.”
Luno’nun sofistike DDOS özellikleri
DDOS_ATTACK_LAUNCHER, hem iplik tabanlı selleri hem de harici ikili yürütmeyi sağlayan temel DDOS özelliklerini içerir. Cyble, 20’den fazla farklı DDOS saldırı modülü ve türünü tanımladı.
UDP-Bypass ve TCP-Bypass gibi saldırılar, standart hacimsel sellerden daha gelişmişdir ve saldırganın temel imza tabanlı algılama kurallarından kaçmak için paket boyutunu ve hedef bağlantı noktasını randomize etmesine izin verir.
Bir HTTP Get Sel Saldırı İşlevi, gerçek tarayıcı trafiğini randomize başlıklarla simüle eder, 102 meşru yönlendiriciye sahip, “insan taramasını taklit eden ve temel tespitten kaçan” olan rastgele kullanıcı ajanlarının sert kodlanmış bir listesini kullanarak.
Araştırmacılar, kötü amaçlı yazılım, Minecraft’a özgü DDOS saldırı işlevleri, değerlere özgü QuiC paketleri ve çok oyunculu işlevler için birçok oyun motoru tarafından kullanılan Raknet motor bileşenleri ile oyun sunucularını hedefliyor.
Kötü amaçlı yazılımın Raknet komutu, güvensiz, protokol olmayan UDP trafiğini engelleyen basit güvenlik duvarı kurallarını veya hız sınırlamasını atlamak için Raknet Protokolü el sıkışmasını kullanır. Cyble, “Saldırgan, el sıkışmasını tamamlayarak trafiği sunucu için meşru görünmesini sağlayarak sunucunun gelen paketlerin selini işleyen kaynakları boşa harcamasına neden oluyor” dedi.
Daha gelişmiş Raknet-Mix komutu “Trafiğinin daha çeşitli ve tek bir kuralla engellenmesi zor görünmesi için çeşitli randomize paketler kullanarak hedefi doldurur.”
Cyble, kötü amaçlı yazılımların uzun vadeli bir tehdit olarak inşa edildiğini ve savunucuların not alması gerektiğini söyledi.
Araştırmacılar, “Hepsi kuruluşlar için operasyonel ve finansal risklere sahip olan dayanıklılık, modülerlik, para kazanma potansiyeli, kaynak hırsızlığı ve hizmet aksaklık yetenekleri göz önüne alındığında, savunucular Lunoc2’ye, özellikle internete dönük sunucular ve oyun hosting platformları için Linux ortamları için uzun vadeli bir tehdit olarak ele almalıdır” dedi.
Tam Cyble Blog, kötü amaçlı yazılımlara derinlemesine bir bakış atıyor ve ayrıca uzlaşma göstergelerini (IOCS) ve savunucular için öneriler içeriyor.