Bir yılı aşkın bir süredir tespitten kaçınan yeni keşfedilen bir Linux kötü amaçlı yazılım, saldırganların sürekli SSH erişimi kazanmasına ve tehlikeye atılan sistemlerde kimlik doğrulamasını atlamasına izin verir.
Kötü amaçlı yazılımları tanımlayan ve “Veba” olarak adlandırılan Nextron Systems güvenlik araştırmacıları, geleneksel güvenlik araçları tarafından tespit edilmesini önlemek için katmanlı gizleme teknikleri ve çevre kurcalama kullanan kötü niyetli bir takılabilir kimlik doğrulama modülü (PAM) olarak tanımlayın.
Bu kötü amaçlı yazılım, analizi ve ters mühendislik denemelerini engellemek için anti-tahribat özelliklerine, gizli erişim için algılamayı daha zor, sabit kodlanmış şifreleri ve normalde enfekte cihazlardaki aktivitesini ortaya çıkaracak oturum artefaktlarını gizleme yeteneğine sahiptir.
Yüklendikten sonra, SSH ile ilgili ortam değişkenlerini belirleyerek ve komut geçmişini günlüğe kaydetmeyi önlemek, denetim parkurlarını ortadan kaldırmak ve giriş meta verilerini ortadan kaldırmak ve Saldırıcının dijital ayak izini sistem öyküsü günlüğü ve etkileşimli oturumlardan silerek, herhangi bir kötü amaçlı etkinlik izinin çalışma zamanı ortamını da ovacaktır.
Tehdit Araştırmacısı Pierre-Ha, “Veba, kimlik doğrulama yığınına derinlemesine entegre olur, sistem güncellemelerine hayatta kalır ve neredeyse hiç adli iz bırakmaz. Katmanlı gizleme ve çevre kurcalama ile birlikte, geleneksel araçları kullanmayı tespit etmeyi son derece zorlaştırır.” Dedi.
“Kötü amaçlı yazılım, bir SSH oturumunun kanıtlarını ortadan kaldırmak için çalışma zamanı ortamını aktif olarak sterilize eder. SSH_Connection ve SSH_Client gibi ortam değişkenleri, setenv kullanılarak açılırken, histFile kabuk komut günlüğünü önlemek için /dev /null’a yönlendirilir.”
Kötü amaçlı yazılımları analiz ederken, araştırmacılar ayrıca uzun bir süre boyunca aktif gelişimi gösteren derleme artefaktları keşfettiler ve örnekler farklı Linux dağıtımlarında çeşitli GCC sürümleri kullanılarak derlendi.
Buna ek olarak, arka kapının birden fazla varyantı geçen yıl Virustotal’a yüklenmiş olsa da, antivirüs motorlarının hiçbiri onları kötü niyetli olarak işaretlemedi, bu da kötü amaçlı yazılımların yaratıcılarının tespit edilmediğini düşündürmektedir.
Pezier, “Veba arka kapısı, gizli ve kalıcılığı korumak için temel kimlik doğrulama mekanizmalarını kullanan Linux altyapısı için sofistike ve gelişen bir tehdidi temsil ediyor.” “Gelişmiş gizleme, statik kimlik bilgileri ve çevre kurcalama kullanımı, geleneksel yöntemleri kullanarak tespit etmeyi özellikle zorlaştırıyor.”
Mayıs ayında Nextron Systems, PAM (takılabilir kimlik doğrulama modülleri) linux kimlik doğrulama altyapısının esnekliğinden yararlanan başka bir kötü amaçlı yazılım keşfetti, bu da içerik oluşturucularının kimlik bilgilerini çalmasını, kimlik doğrulamasını atlamasını ve tehlikeye atılmış cihazlarda gizli kalıcılık kazanmasını sağladı.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.