BLACK HAT EUROPE 2023 – Londra – Kripto madenciliği ve diğer saldırılarda kullanılmak üzere virüslü cihazları bir botnet’e ekleyen HeadCrab kötü amaçlı yazılımı, yanıtları kontrol eden ve rootkit benzeri eylemlere sahip yeni ve parlak bir varyantla yeniden ortaya çıktı.
Aqua Security’den araştırmacılar, kripto madencilik kötü amaçlı yazılımının ikinci çeşidinin 1.100 sunucuya bulaştığını söyledi; the ilk varyant Zaten en az 1.200 sunucuya bulaşmıştı.
Redis’in Kökü?
Aqua Security’nin araştırma ekibi Team Nautilus’un bir parçası olan güvenlik araştırmacısı Asaf Eitani, Dark Reading’e HeadCrab’in geleneksel bir rootkit olmamasına rağmen, kötü amaçlı yazılımın yaratıcısının ona bir işlevi kontrol etme ve yanıt gönderme yeteneğini eklediğini söylüyor.
Eitani, “Temel olarak bu, bu yerlere yönelik tüm yanıtları kontrol etmesi anlamında bir rootkit davranışıdır” diyor. “Böylece tepkiyi değiştirebilir ve görünmez olabilir.”
Eitani şunları ekliyor: “Dönemin geleneği rootkit root erişimi olan ve her şeyi kontrol eden kötü amaçlı bir yazılımdır, ancak bu anlamda kullanıcının ne göreceğini kontrol edebiliyorsunuz.”
İkinci Varyant
Yeni varyant, bir saldırganın özel komutları kaldırarak ve komuta ve kontrol altyapısına şifreleme ekleyerek eylemlerini daha iyi gizlemesine olanak tanıyan küçük güncellemelerle birlikte geliyor.
“[We believe] kendisi hâlâ üzerinde değişiklik yapıyor ve bu kötü amaçlı yazılımın daha yeni bir sürümünü bulmayı ve yayınımıza nasıl tepki vereceğini görmeyi bekliyoruz. [of further details],” diyor Eitani. “O pes etmedi.”
Her iki varyantın ayrıntıları bugün bir toplantıda paylaşıldı. sunum Eitani ve meslektaşı, kıdemli veri analisti Nitzan Yaakov tarafından.
Cevap vermek
HeadCrab’in özellikle benzersiz bir unsuru, kötü amaçlı yazılımın içindeki “mini blog”dur; burada kötü amaçlı yazılımın yazarı, kötü amaçlı yazılımın teknik ayrıntılarını yazar ve anonim kalması için bir Proton Mail e-posta adresi bırakır.
Aqua Security araştırmacıları e-postayı, Ice9 kod adıyla anılan HeadCrab yaratıcısıyla iletişim kurmak için kullandı ancak onun adını veya yerini belirleyemedi. Ancak Ice9 araştırmacılara, kendisine e-posta gönderen ilk kişilerin kendileri olduğunu söyledi.
Araştırmacılarla yapılan e-posta görüşmelerinde Ice9, kötü amaçlı yazılımın sunucu performansını büyük ölçüde azaltmadığını ve diğer kötü amaçlı yazılım bulaşmalarını ortadan kaldırabileceğini söyledi. Ayrıca araştırmacılara kötü amaçlı yazılımın ikili dosyasını da gönderdi; bu dosyanın, kimlik bilgilerinin çalınmasına ve ek kalıcılığa olanak tanıyan bir hizmet olduğu ortaya çıktı.
İkinci varyantın tespit edilmesinin ardından Ice9’un mini blogunda yayınlanan yeni bir mesajda Aqua araştırmacılarının yaptığı çalışmaya övgüler yağdırıldı. Eitani, “Ayrıca ilk versiyonda gözden kaçırdığımız bazı teknik ayrıntılardan da bahsetti ve son notta yeni versiyondaki teknik ayrıntılarla ve özel komutlardan nasıl kurtulduğuyla ilgiliydi” diyor.
Eitani, Ice9’un HeadCrab’in tek kullanıcısı olduğunu ve yalnızca komuta ve kontrol altyapısının kontrolünde olduğunu belirtiyor.
Kontrolü ele almak
HeadCrab, saldırgan Redis sunucusunu kullandığında Redis sunucusuna bulaşıyor. KÖLE komutunu kullanarak kötü amaçlı bir modül indirir ve iki yeni dosya çalıştırır: kripto madenci ve bir yapılandırma dosyası. Araştırmacılara göre süreç, yöneticilerin Redis Kümesi içindeki bir sunucuyu küme içindeki başka bir “ana” sunucuya “bağımlı” olarak atamasına olanak tanıyan bir komut içeriyor.
Araştırmacılar, kuruluşların sunucularındaki güvenlik açıklarını ve yanlış yapılandırmaları taramasını ve HeadCrab’den bulaşma olasılığını azaltmak için Redis’te korumalı modu kullanmasını önerdi.