Reklam
Security

FontOnLake kötü amaçlı yazılımı, truva atlanmış yardımcı programlar aracılığıyla Linux sistemlerine bulaşıyor

FontOnLake kötü amaçlı yazılımı, truva atlanmış yardımcı programlar aracılığıyla Linux sistemlerine bulaşıyor

Yeni keşfedilen bir kötü amaçlı yazılım ailesi, meşru ikili dosyalara gizlenmiş Linux sistemlerine bulaşıyor. FontOnLake olarak adlandırılan tehdit, arka kapı ve rootkit bileşenleri sağlar.

Kötü amaçlı yazılımın vahşi doğada düşük bir yaygınlığı vardır ve virüslü bir sistemde uzun süreli kalıcılığı sürdürmesine izin veren gelişmiş bir tasarımdan yararlanır.

Yasal yardımcı programların içinde saklanma

FontOnLake, birbiriyle etkileşime giren ve kötü amaçlı yazılım operatörleriyle iletişimi sağlayan, hassas verileri çalan ve sistemde gizli kalan birden fazla modüle sahiptir.

ESET’teki araştırmacılar, geçen yıl boyunca VirusTotal tarama hizmetine yüklenen ve ilki Mayıs 2020’de ortaya çıkan çok sayıda kötü amaçlı yazılım örneği buldu.

Gizli ve sofistike tasarımıyla öne çıkan FontOnLake, “neredeyse tüm örnekler” ve çeşitli standart dışı bağlantı noktaları için benzersiz komut ve kontrol (C2) sunucularını kullanmaya yeterince dikkat eden operatörler tarafından hedefli saldırılarda kullanılıyor olabilir.

ESET araştırmacıları, FontOnLake’in dağıtım yönteminin truva atlı bir uygulama aracılığıyla olduğunu bulmuş olsa da, kurbanların değiştirilmiş ikili dosyaları indirmeye nasıl çekildiğini bilmiyorlar.

Tehdit aktörünün FontOnLake’i sunmak için değiştirdiği Linux yardımcı programları arasında şunlar yer alır:

  • kedi – bir dosyanın içeriğini yazdırmak için kullanılır
  • öldürmek – çalışan tüm süreçleri listeler
  • sftp – güvenli FTP yardımcı programı
  • sshd – OpenSSH sunucu süreci

“Truva atlanmış tüm dosyalar standart Linux yardımcı programlarıdır ve sistem başlangıcında yaygın olarak yürütüldükleri için kalıcılık yöntemi olarak hizmet ederler.” Vladislav HrčkaESET’te kötü amaçlı yazılım analisti ve tersine mühendislik,

Araştırmacılara göre, truva atı yardımcı programları muhtemelen kaynak kodu düzeyinde değiştirilmiş, bu da tehdit aktörünün bunları derleyip orijinalini değiştirdiğini gösteriyor.

Kötü amaçlı yazılımı taşımanın yanı sıra, bu değiştirilmiş ikili dosyaların rolü, ek yükler yüklemek, bilgi toplamak veya diğer kötü amaçlı eylemleri yürütmektir.

Araştırmacılar, operatörlerin virüslü sisteme uzaktan erişimini sağlayan FontOnLake kötü amaçlı yazılım ailesiyle ilişkili C++ ile yazılmış üç özel arka kapı keşfetti.

Üçü için ortak bir işlev, toplanan sshd kimlik bilgilerini ve bash komut geçmişini C2 sunucusuna aktarmaktır. Ayrıca, kontrol sunucusuyla bağlantıyı canlı tutmak için özel sinyal komutları kullanırlar.

Açık kaynaklı rootkit’e dayalı

İçinde teknik rapor Bu hafta yayınlanan ESET, FontOnLake’in güvenliği ihlal edilmiş bir sistemdeki varlığının, güncellemelerden ve yedek arka kapıların tesliminden de sorumlu olan bir rootkit bileşeni tarafından gizlendiğini belirtiyor.

ESET’in 2.6.32-696.el6.x86_64 ve 3.10.0-229.el7.X86_64 hedef çekirdek sürümlerini bulduğu tüm rootkit örnekleri. Keşfedilen iki sürüm, sekiz yıllık bir açık kaynaklı rootkit projesine dayanmaktadır. Suterusu ve süreçleri, dosyaları, kendilerini ve ağ bağlantılarını gizleyebilir.

Truva atlı uygulamalar ve rootkit arasındaki iletişim, ikincisinin oluşturduğu sanal bir dosya aracılığıyla gerçekleşir. Bir operatör bu dosyaya veri okuyabilir veya yazabilir ve arka kapı bileşeni tarafından dışa aktarılmasını sağlayabilir.

Araştırmacılar, FontOnLake’in yazarının “siber güvenlik konusunda bilgili” olduğuna ve yüklemeyi öğrendiklerinde VirusTotal’da bulunan örneklerde kullanılan C2 sunucularını devre dışı bıraktığına inanıyorlar.

Bir yudum FontOnLake

ESET, FontOnLake’in aynı kötü amaçlı yazılım olabileceğini söylüyor önceden analiz edilmiş Bunu gelişmiş bir kalıcı tehdit olayıyla ilişkilendiren Tencent Güvenlik Müdahale Merkezi’ndeki araştırmacılar tarafından.

Ağustos ayı sonlarında bir tweet’te siber güvenlik şirketi Avast, Suterusu kullanan ve HCRootkit adını verdikleri yeni bir Linux kötü amaçlı yazılımı bulduklarını duyurdu.

HRCrootkit, C++ ile yazılmış bir arka kapıyı da bırakan bir “arka kapılı coreutils ikili dosyası” tarafından teslim edildiğinden, açıklamaları ESET bulgularına benzer.

“Rootkit bileşeninin temel amacı, 2. aşama yükünü gizlemek ve bir netfilter kancası kurarak ve paketlerin localhost’tan geliyormuş gibi görünmesini sağlamak için CNC paketlerini yeniden yönlendirerek CNC’den gelen trafiğin güvenlik duvarını atlamasını sağlamaktır” – dur

Lacework Labs ayrıca bir HRCrootkit’in analizi, kötü amaçlı yazılımın FontOnLake ile aynı olduğunu onaylıyor gibi görünen ayrıntıları paylaşıyor.




Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün