Siber saldırganlar, ShellBot kötü amaçlı yazılımıyla Linux SSH sunucularını hedefliyor ve etkinliklerini gizlemek için yeni bir yönteme sahipler: davranış tabanlı tespitten kaçınmak için onaltılık IP (Hex IP) adresleri kullanmak.
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) araştırmacılara göre, tehdit aktörleri tanıdık “nokta-ondalık” komut ve kontrol URL oluşumunu çeviriyor (ör. hxxp://39.99.218)[.]78,) çoğu URL tabanlı algılama imzasının ayrıştırmayacağı veya işaretlemeyeceği bir Hex IP adresi biçimine (hxxp://0x2763da4e/ gibi) dönüştürür.
“IP adresleri, ondalık ve onaltılık gösterimler de dahil olmak üzere, noktalı ondalık gösterimden farklı formatlarda ifade edilebilir ve genellikle yaygın olarak kullanılan Web tarayıcılarıyla uyumludur.” Hex IP saldırılarına ilişkin ASEC tavsiyesi. “İndirme için curl kullanımı ve tıpkı Web tarayıcıları gibi onaltılı sayıyı destekleme yeteneği nedeniyle, ShellBot bir Linux sistem ortamına başarılı bir şekilde indirilebilir ve Perl aracılığıyla çalıştırılabilir.”
ShellBot, diğer adıyla PerlBot, zayıf SSH kimlik bilgilerine sahip sunucuların güvenliğini aşmak için sözlük saldırılarını kullanan iyi bilinen bir botnet’tir. Buradan, sunucu uç noktası, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek veya virüslü makinelere kripto madencileri gibi yükleri düşürmek için harekete geçirilir.
ASEC, “ShellBot kuruluysa Linux sunucuları, tehdit aktöründen bir komut aldıktan sonra belirli hedeflere yönelik DDoS saldırıları için kullanılabilir” dedi. “Ayrıca tehdit aktörü, ek kötü amaçlı yazılım yüklemek veya ele geçirilen sunucudan farklı türde saldırılar başlatmak için diğer çeşitli arka kapı özelliklerini kullanabilir.”
Kuruluşlarını ShellBot saldırılarına karşı korumak için yöneticilerin, güçlü parolalar kullanarak ve güçlendirilmiş kimlik bilgilerini düzenli aralıklarla değiştirdiğinden emin olarak parola hijyeni oyunlarını geliştirmeleri gerekir.