Sıradaki içerik:

Türk Hackerlar Pakistan Başbakanlığını ve NASA Çalışanlarını Hackledi!

e
sv

Yıllardır arka kapı sistemlerinde kullanılan yeni gizli Linux kötü amaçlı yazılımı

30 Nisan 2021 17:37
avatar

admin

  • e 0

    Mutlu

  • e 0

    Eğlenmiş

  • e 0

    Şaşırmış

  • e 0

    Kızgın

  • e 0

    Üzgün

Yıllardır arka kapı sistemlerinde kullanılan yeni gizli Linux kötü amaçlı yazılımı

Yakın zamanda keşfedilen ve arka kapı özelliklerine sahip bir Linux kötü amaçlı yazılımı, saldırganların güvenliği ihlal edilmiş cihazlardan hassas bilgileri toplamasına ve dışarı çıkarmasına olanak tanıyan bir güvenlik açığı tespit edildi.

Qihoo 360’ın Ağ Güvenliği Araştırma Laboratuvarı’ndaki (360 Netlab) araştırmacılar tarafından RotaJakiro olarak adlandırılan arka kapı,  VirusTotal’ın kötü amaçlı yazılımdan koruma motorları tarafından tespit edilemiyor, ancak bir örnek ilk olarak 2018’de yüklendi.

RotaJakiro, iletişim kanallarını ZLIB sıkıştırması ve AES, XOR, ROTATE şifrelemesi kullanarak şifreleyerek mümkün olduğunca gizli çalışmak üzere tasarlanmıştır.

Ayrıca, 360 Netlab’ın BotMon sistemi tarafından tespit edilen örnekte bulunan kaynak bilgileri AES algoritması kullanılarak şifrelenirken, kötü amaçlı yazılım analistlerinin bunu incelemesini engellemek için elinden geleni yapıyor.

“İşlevsel düzeyde, RotaJakiro önce farklı hesaplar için farklı yürütme politikaları ile kullanıcının çalışma zamanında kök olup olmadığını belirler, ardından ilgili hassas kaynakların şifresini daha sonra kalıcılık, işlem koruması ve tek örnek kullanımı için AES & ROTATE kullanarak çözer, ve sonunda C2 ile iletişim kurar ve C2 tarafından verilen komutların yürütülmesini bekler, “dedi 360 Netlab.

Hassas Bilgileri Ele Geçiriyor !

Saldırganlar, RotaJakiro’yu sistem bilgilerini ve hassas verileri sızdırmak, eklentileri ve dosyaları yönetmek ve güvenliği ihlal edilmiş 64 bit Linux cihazlarında çeşitli eklentileri yürütmek için kullanabilir.

Bununla birlikte, 360 Netlab, virüslü sistemlere yerleştirdiği eklentiler söz konusu olduğunda görünürlük eksikliği nedeniyle kötü amaçlı yazılım oluşturucularının kötü amaçlı araçları için gerçek niyetini henüz keşfetmedi.

Araştırmacılar, “RotaJakiro, üçü belirli Eklentilerin yürütülmesiyle ilgili olmak üzere toplam 12 işlevi destekliyor,” diye eklediler. “Maalesef, eklentileri göremiyoruz ve bu nedenle gerçek amacını bilmiyoruz.”

İlk RotaJakiro örneğinin VirusTotal’a indiği 2018’den bu yana 360 Netlab, Mayıs 2018 ile Ocak 2021 arasında yüklenen dört farklı örnek buldu ve bunların tümü etkileyici bir toplam sıfır saptamaya sahipti.

Geçmişte kötü amaçlı yazılım tarafından kullanılan komuta ve kontrol sunucuları, altı yıl önce Aralık 2015’te kaydedilmiş etki alanlarına sahipti. 

Dosya adıMD5Tespit etmeİlk VT’de Görüldü
systemd-arka plan programı1d45cd2c1283f927940c099b8fab593b0/612018-05-16 04:22:59
systemd-arka plan programı11ad1e9b74b144d564825d65d7fb37d60/582018-12-25 08:02:05
systemd-arka plan programı5c0f375e92f551e8f2321b141c15c48f0/562020-05-08 05:50:06
gvfsd yardımcısı64f6cfe44ba08b0babdd3904233c48570/612021-01-18 13:13:19

360 Netlab araştırmacıları ayrıca, ilk olarak kötü amaçlı yazılım uzmanı Vesselin Bontchev tarafından tespit edilen ve Eylül 2018’de Avast’ın Tehdit İstihbarat Ekibi tarafından analiz edilen Torii IoT botnet bağlantılarını keşfetti.

İki kötü amaçlı yazılım türü, tehlikeye atılan sistemlere, benzer yapım yöntemlerine ve her iki geliştirici tarafından kullanılan sabitlere dağıtıldıktan sonra aynı komutları kullanır.

RotaJakiro ve Torii ayrıca, “hassas kaynakları gizlemek için şifreleme algoritmalarının kullanılması, oldukça eski tarz bir kalıcılığın uygulanması, yapılandırılmış ağ trafiği” dahil olmak üzere birçok işlevsel benzerliği paylaşıyor.

  • Site İçi Yorumlar

En az 10 karakter gerekli