Gömülü Linux merkezli Nesnelerin İnterneti (IoT) Cihazları Hadi.
GO’da yazılan Botnet, SSH örneklerine karşı büyüklük ve ölçek olarak genişlemek ve enfekte olmuş ana bilgisayarlara ek kötü amaçlı yazılım sunmak için kaba kuvvet saldırıları yapmak için tasarlanmıştır.
Hacker News ile paylaşılan bir analizde, “İnterneti taramak yerine, kötü amaçlı yazılım bir komut ve kontrol (C2) sunucusundan bir hedef listesini alır ve SSH kimlik bilgilerini zorlaştırmaya çalışır.” Dedi. “Erişim kazandıktan sonra uzak komutlar alır ve sistem hizmet dosyalarını kullanarak kalıcılık oluşturur.”
Botnet kötü amaçlı yazılım, açık SSH bağlantı noktalarına sahip hasat edilen IP adresleri listesinde başarılı bir şekilde kaba zorlayıcı SSH kimlik bilgileri ile başlangıç erişimini elde etmek için tasarlanmıştır. Hedef için IP adreslerinin listesi harici bir sunucudan alınmıştır (“SSH.DDOS-CC[.]org “).
Brute-Force denemelerinin bir parçası olarak, kötü amaçlı yazılım, sistemin uygun olup olmadığını ve bir balkospot olmadığını belirlemek için çeşitli kontroller gerçekleştirir. Ayrıca, bir gözetim ve trafik kamera sistemleri üreticisi olan “Pumatronix” dizesinin varlığını kontrol ederek ya onları özel olarak bekleyen veya dışlama girişimini gösteriyor.
Kötü amaçlı yazılım daha sonra C2 sunucusuna temel sistem bilgilerini toplamaya ve sunmaya devam eder, daha sonra kalıcılığı ayarlar ve sunucudan alınan komutları yürütür.
Darktrace, “Kötü amaçlı yazılım /lib /redis’e yazıyor ve kendini meşru bir Redis sistem dosyası olarak gizlemeye çalışıyor.” Dedi. “Daha sonra, Redis.Service veya MySqi.Service adlı/etc/Systemd/System’de kalıcı bir SystemD hizmeti oluşturur (MySQL’in sermaye i ile yazımına dikkat edin).”
Bunu yaparken, kötü amaçlı yazılımların iyi huylu olduğu ve yeniden başlatmalardan kurtulduğu izlenimini vermesini sağlar. Botnet tarafından yürütülen komutlardan ikisi “XMRIG” ve “NetworkXM” dir, bu da tehlikeye atılan cihazların kripto para birimini yasadışı bir şekilde madencilik için kullanıldığını gösterir.
Bununla birlikte, komutlar, yüklerin muhtemelen enfekte olmuş ana bilgisayarda başka bir yerde indirildiğini veya açıldığını gösteren bir yönü belirtmeden başlatılır. Darktrace, kampanyayı analiz etmesinin, daha geniş bir kampanyanın bir parçası olarak konuşlandırıldığı söylenen diğer ilgili ikili dosyaları ortaya çıkardığını söyledi –
- DDAemon, ikili “NetworkXm” i “/usr/src/bao/networkxm” olarak alan ve kabuk komut dosyasını “installx.sh” olarak yürüten Go tabanlı bir arka kapı
- Bir C2 sunucusundan bir şifre listesi getirerek BotNet’in başlangıç aşamasına benzer şekilde çalışan bir SSH kaba kuvvet aracı olan Networkxm ve SSH üzerinden hedef IP adresleri listesine bağlanmaya çalışan bir
- “JC.SH” ‘den “1.lusyn’den başka bir kabuk komut dosyası almak için kullanılan installx.sh,[.]XYZ, “Tüm erişim seviyeleri için okuma, yazın ve izinleri gerçekleştirin, komut dosyasını çalıştırın ve Bash geçmişini temizleyin
- Harici bir sunucudan kötü niyetli bir “PAM_UNIX.SO” dosyasını indirecek şekilde yapılandırılmış JC.SH, makineye yüklenen meşru muadilin yerini almak ve aynı sunucudan “1” adlı başka bir ikili ikili olarak çalıştırmak ve çalıştırmak için kullanın
- Başarılı girişleri ele geçirerek ve bunları “/usr/bin/con.txt” dosyasına yazarak kimlik bilgilerini çalan bir rootkit görevi gören PAM_UNIX.SO.
- “/Usr/bin/” olarak yazılan veya taşınan “con.txt” dosyasını izlemek ve daha sonra içeriğini aynı sunucuya eklemek için kullanılan 1,
BOTNET kötü amaçlı yazılımların SSH kaba-kuvvet yeteneklerinin solucan benzeri yetenekleri ödünç verdiği göz önüne alındığında, kullanıcıların anormal SSH giriş aktiviteleri, özellikle başarısız giriş girişimleri, denetim sistemleri düzenli olarak gözden geçirmeleri gerekmektedir. X-Api Key: Jieruidashabi.
Darktrace, “BOTNET, tehlikeye atılan sistemler üzerinde kontrol kazanmak ve sürdürmek için otomasyon, kimlik bilgisi kaba zorlama ve yerel Linux araçlarını kullanan kalıcı bir GO tabanlı SSH tehdidini temsil ediyor.” Dedi.
“Meşru ikili dosyaları taklit ederek (örneğin, Redis), Sistemd’i kalıcılık için kötüye kullanarak ve balpotlarda veya kısıtlı ortamlarda algılamayı önlemek için parmak izi mantığını yerleştirerek savunmalardan kaçınma niyetini gösterir.”