SHC (Shell Script Compiler) kullanılarak oluşturulan yeni bir Linux kötü amaçlı yazılım indiricisi, vahşi ortamda tespit edildi ve sistemlere Monero kripto para madencileri ve DDoS IRC botları bulaştırdı.
Saldırıyı keşfeden ASEC araştırmacılarına göre, SHC yükleyici Koreli kullanıcılar tarafından VirusTotal’a yüklendi ve saldırılar genellikle aynı ülkedeki Linux sistemlerine odaklandı.
Analistler, saldırıların büyük olasılıkla Linux sunucularında SSH üzerinden zayıf yönetici hesabı kimlik bilgilerine kaba kuvvet uygulayarak yapıldığını söylüyor.
gizli yükleme
SHC, Linux için Bash kabuk betiklerini ELF (Linux ve Unix yürütülebilir dosyaları) dosyalarına dönüştürebilen bir “jenerik kabuk betiği derleyicisidir”.
Tehdit aktörleri tarafından kullanılan kötü amaçlı Bash kabuk betikleri, genellikle bir Linux aygıtına yüklenen güvenlik yazılımı tarafından algılanabilen sistem komutları içerir.
SHC ELF yürütülebilir dosyalarındaki komut dosyaları RC4 algoritması kullanılarak kodlandığından, kötü amaçlı komutlar güvenlik yazılımı tarafından o kadar kolay görülmez ve potansiyel olarak kötü amaçlı yazılımın tespitten kaçmasına izin verir.
Kaynak: ASEC
Çok sayıda yükün düşürülmesi
SHC kötü amaçlı yazılım indiricisi yürütüldüğünde, birden çok başka kötü amaçlı yazılım yükü getirecek ve bunları cihaza yükleyecektir.
Yüklerden biri, uzak bir URL’den TAR arşivi olarak indirilen ve “/usr/local/games/” konumuna çıkarılan ve çalıştırılan bir XMRig madencisidir.
Arşiv ayrıca “çalıştırma” komut dosyasını ve yapılandırılmış maden havuzuna işaret eden madencinin yapılandırma dosyasını da içerir.
Kaynak: ASEC
XMRig, genellikle güvenliği ihlal edilmiş sunucunun mevcut bilgi işlem kaynaklarını kullanarak Monero madenciliği yapmak üzere ayarlanmış, yaygın olarak kötüye kullanılan bir açık kaynaklı CPU kripto para madencisidir.
Yapılandırmayı madenci ile birleştirmek, C2 ile iletişimi en aza indirmeye yardımcı olur ve tehdit aktörünün sunucusunun çevrimdışı olması durumunda kripto madenciliğinin devam etmesini sağlar.
SHC kötü amaçlı yazılım indiricisi tarafından alınan, bırakılan ve yüklenen ikinci yük, Pearl tabanlı bir DDoS IRC botudur.
Kötü amaçlı yazılım, yapılandırma verilerini kullanarak belirlenen IRC sunucusuna bağlanır ve kullanıcı adı tabanlı bir doğrulama sürecinden geçer.
Başarılı olursa kötü amaçlı yazılım, TCP Flood, UDP Flood ve HTTP Flood gibi DDoS ile ilgili eylemler, bağlantı noktası taraması, Nmap taraması, sendmail komutları, işlem öldürme, günlük temizleme ve daha fazlası dahil olmak üzere IRC sunucusundan gelen komutları bekler.
Kaynak: ASEC
ASEC, bu tür saldırıların genellikle açıktaki Linux sunucularında zayıf parolalar kullanılmasından kaynaklandığı konusunda uyarıyor.
ASEC, “Bu nedenle yöneticiler, hesapları için tahmin edilmesi zor parolalar kullanmalı ve Linux sunucusunu kaba kuvvet saldırılarından ve sözlük saldırılarından korumak için bunları periyodik olarak değiştirmeli ve güvenlik açığı saldırılarını önlemek için en son yamaya güncelleme yapmalıdır.”
“Yöneticiler, saldırganların erişimini kısıtlamak için dışarıdan erişilebilen sunucular için güvenlik duvarları gibi güvenlik programları da kullanmalıdır.”