Bilgisayar Korsanları Linux Sistemlerini Ele Geçirmek İçin OpenSSH Aracını Kullanıyor

Microsoft tarafından yapılan bir araştırmada, Linux tabanlı sistemler ve IoT cihazları hedef alan bir saldırı tespit edildi.

Saldırının, özel ve açık kaynaklı araçları kullanarak etkilenen cihazların kontrolünü ele geçirdiği ve yamalanmış OpenSSH kullanarak bu cihazlara kripto madencilik kötü amaçlı yazılımı yüklediği belirlendi.

Güneydoğu Asyalı bir finansal kuruluşun alt alan adını C2 sunucusu olarak kullanan bir suç altyapısını kullanarak, tehdit aktörleri bir arka kapı uygulaması dağıtıyor.

Madencilik için, kök kiti ve bir IRC botu gibi farklı araçlar kullanarak cihaz kaynaklarını istismar ediyor.

Aşağıda, arka kapının gerçekleştirdiği görevler:

  • Yamanmış OpenSSH dağıtır
  • SSH kimlik bilgilerini ele geçirir
  • Yatay olarak hareket eder
  • Zararlı bağlantıları gizler

Buna ek olarak, tespit edilmekten kaçınmak için saldırının karmaşıklığı ve kapsamı, saldırganların kararlı çabalarını ortaya koyuyor.

Kullanılan Silahlandırılmış OpenSSH Aracı Bu saldırı, tehdit aktörleri tarafından internete açık ve yanlış yapılandırılmış Linux cihazlarda kimlik doğrulamasını zorlayarak başlatılıyor.

Bir cihaz ele geçirildikten sonra, kabuk geçmişini devre dışı bırakıyor ve daha sonra uzaktan bir sunucudan kötü amaçlı bir OpenSSH arşivi (openssh-8.0p1.tgz) alıyor.

Eşzamanlı olarak, arka kapı kabuk komut dosyası ve trojanlaşmış OpenSSH ikili dosyası kalıcı SSH erişimi için iki genel anahtar ekliyor.

Bu, bilgi toplama ve Reptile ve Diamorphine LKM kök kiti kurarak ele geçirilen sistemlerdeki zararlı eylemleri gizlemek için kullanılıyor.

Arka kapı, rakip madencilik işlemlerini ortadan kaldırmaya yardımcı olmak için iptables kuralları ekliyor ve rakip trafiği engellemek için ‘/etc/hosts’ dosyasını değiştiriyor.

Madenci işlemlerini tespit ediyor ve sonlandırıyor, dosya erişimini engelliyor ve tehdit aktörleri tarafından authorized_keys dosyasında yapılandırılan SSH erişimini kaldırıyor. Saldırganlar, bash komutu yürütme için DDoS yeteneklerine sahip ZiggyStarTux IRC botunu (Kaiten kötü amaçlı yazılımına dayanarak) dağıtıyor. Kalıcılığı sağlamak için, arka kapı kötü amaçlı yazılımı aşağıdaki gibi çeşitli teknikler kullanıyor:

  • Birden çok disk konumunda ikili dosyaları kopyalıyor
  • Periyodik yürütme için cron işleri oluşturuyor

Ayrıca, ‘ZiggyStarTux’ adlı systemd servisi kaydedilmiş durumda ve hizmet dosyası aşağıdaki konumda bulunuyor:

/etc/systemd/system/network-check.service

Microsoft’un bir raporuna göre, saldırgan, yatay ağ hareketinden sonra kripto madencilik için “Linux tabanlı Hiveon OS sistemlerini” hedef alan madencilik kötü amaçlı yazılımını yüklemeyi hedefliyor.

About The Author

Reply