Kabuk komut dosyası derleyicisi kullanılarak geliştirilen yeni bir Linux kötü amaçlı yazılımı (shc) güvenliği ihlal edilmiş sistemlerde bir kripto para madencisi kullandığı gözlemlendi.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC), “Yetersiz yönetilen Linux SSH sunucularına yapılan bir sözlük saldırısı yoluyla başarılı kimlik doğrulamasından sonra, hedef sisteme çeşitli kötü amaçlı yazılımların yüklendiği varsayılmaktadır.” söz konusu bugün yayınlanan bir raporda.
shc, kabuk betiklerinin doğrudan ikili dosyalara dönüştürülmesine izin vererek yetkisiz kaynak kodu değişikliklerine karşı koruma sağlar. şuna benzer BAT2EXE yardımcı programı herhangi bir toplu iş dosyasını yürütülebilir dosyaya dönüştürmek için kullanılan Windows’ta.
Güney Koreli siber güvenlik firması tarafından detaylandırılan bir saldırı zincirinde, SSH sunucusunun başarılı bir şekilde ele geçirilmesi, bir shc indirici kötü amaçlı yazılımın Perl tabanlı bir DDoS IRC Botu ile birlikte konuşlandırılmasına yol açar.
Shc indirici daha sonra, dağıtılmış hizmet reddi (DDoS) saldırılarını monte etmek için komutları almak üzere uzak bir sunucuyla bağlantı kurabilen IRC botu ile kripto para madenciliği yapmak için XMRig madenci yazılımını getirmeye devam eder.
ASEC araştırmacıları, “Bu bot yalnızca TCP taşması, UDP taşması ve HTTP taşması gibi DDoS saldırılarını değil, aynı zamanda komut yürütme, ters kabuk, bağlantı noktası tarama ve günlük silme gibi çeşitli diğer özellikleri de destekliyor” dedi.
Tüm shc indirici eserlerinin Güney Kore’den VirusTotal’a yüklenmiş olması, kampanyanın esas olarak ülkedeki zayıf güvenlikli Linux SSH sunucularına odaklandığını gösteriyor.
Kullanıcıların, kaba kuvvet girişimlerini ve sözlük saldırılarını önlemek için parola hijyenine uymaları ve parolaları düzenli aralıklarla değiştirmeleri önerilir. Ayrıca işletim sistemlerini güncel tutmanız önerilir.