Tehdit aktörlerinin kuruluşları hedeflemek için kullandığı sürekli gelişen pek çok taktik arasında, kötü amaçlı yazılımları yerleştirmek ve kötü amaçlı etkinlikleri gizlemek için taklit Linux ortamlarını içeren yeni bir taktik de yer alıyor.
Securonix’teki araştırmacılar, hedef sistemlerde gizli bir varlık sürdürmek ve geleneksel antivirüs ve kötü amaçlı yazılım tespit sistemleri tarafından tespit edilmeden onlardan veri toplamak için yeni yaklaşımı kullanan bir saldırganı tespit etti.
Yeni Teknik
Güvenlik sağlayıcısı şu ana kadar düşmanı tanımlayamadı veya kimi hedef alıyor olabileceğini belirleyemedi. Ancak kampanyanın laf kalabalığı ve komuta ve kontrol (C2) sunucusunun ABD merkezli olduğu gerçeği de dahil olmak üzere mevcut kanıtlar, Securonix’in bir teoriye göre Kuzey Amerika’daki organizasyonların birincil odak noktası olduğunu gösteriyor. bu hafta rapor ver.
“Tüm kanıtlar öyle ya da böyle işaret etmese de, gözlemlenen teknik gelişmişlik ve kişiselleştirme, bunu daha olası kılıyor” [the campaign] Securonix’in kıdemli tehdit araştırmacısı Tim Peck, “Kuzey Amerika ve Avrupa’daki belirli hedefler veya sektörler göz önünde bulundurularak hazırlandı” diyor.
Securonix’in kampanyayı takip ettiği CRON#TRAP, saldırganın uç noktalarda kalıcı olmak ve bunlar üzerinde çeşitli kötü amaçlı etkinlikler yürütmek için özel bir taklit QEMU Linux ortamı kullanması açısından dikkate değerdir. QEMU — Quick EMUlater için — kuruluşların x86, PowerPC, ARM ve diğer işlemci teknolojilerini temel alan sistemleri taklit etmesine olanak tanıyan açık kaynaklı, platformlar arası bir sanallaştırma aracıdır. Başlıca kullanım durumlarından biri, Linux, Windows, macOS ve diğer işletim sistemi ortamlarında yazılım testi için donanım platformlarını taklit etmektir.
Securonix blogunda, “CRON#TRAP kampanyası durumunda, saldırganlar Tiny Core Linux’un Linux kurulumunu taklit etmeyi tercih etti” dedi. “Belirleyebildiğimiz kadarıyla bu araç, saldırganlar tarafından kripto madenciliği dışında kötü amaçlarla ilk kez kullanılıyor.” Minik Çekirdek Linux kaynakların kısıtlı olduğu ortamlarda kullanım için yeterince küçük ayak izine sahip, modüler, hafif bir Linux dağıtımıdır.
Securonix’in CRON#TRAP kampanyasının bir parçası olarak gözlemlediği saldırılar, anket temalı ada sahip alışılmadık derecede büyük bir zip dosyasına bağlantı içeren bir kimlik avı e-postasıyla başladı.
Zip dosyası, tıklandığında bir kez daha zip dosyasının içeriğini çıkaran ve QEMU sanal kutusunun kurban makineye konuşlandırılmasıyla sonuçlanan bir dizi adımı başlatan benzer temalı bir kısayol dosyası içeriyordu. Securonix, öykünülmüş Linux örneğinin, başlatma sırasında kurban sistemleri ABD’deki sabit kodlu bir C2 sunucusuna otomatik olarak bağlayan, önceden yapılandırılmış bir arka kapı içerdiğini buldu. Saldırganlar arka kapıyı kullanarak Keskigenellikle WebSockets üzerinden veri aktarımı için güvenli, şifreli tüneller oluşturmaya yönelik meşru bir araçtır.
Güvenlik sağlayıcısının QEMU görüntüsüne ilişkin analizi, saldırganların buna PivotBox adını verdiğini gösterdi. Tehdit aktörünün taklit edilmiş Linux ortamında fark edilmeden yürüttüğü komutların ayrıntılı bir geçmişini içeriyordu. Bunların arasında ağ testi ve ilk keşif, kullanıcı numaralandırma, araç kurulumu ve hazırlığı, SSH anahtar manipülasyonu, veri yükü manipülasyonu ve yürütülmesi, dosya ve ortam yönetimi, veri sızdırma, ayrıcalık yükseltme ve kalıcılık komutları vardı.
Açıkça Motivasyona Uğramış Saldırgan
Peck, “Tehdit aktörünün yürüttüğü komutlar, kalıcılık oluşturma ve gizli erişimi sürdürme yönündeki açık niyeti ortaya koyuyor” diyor. “Hedefin ağı içinde istikrarlı, güvenilir ve gizli bir erişim noktası oluşturmaya son derece odaklandılar.” Kendisi, SSH anahtarı oluşturmanın kullanılması ve genel anahtarın bir dosya paylaşım hizmetine daha sonra yüklenmesinin, yeniden başlatma sonrasında bile kalıcı uzaktan erişim sağlama çabasını vurguladığını belirtiyor.
Öykünülmüş Linux ortamının kötü amaçlı faaliyetler için kullanılması, saldırganların sürekli olarak nasıl yeni yollar bulduklarının en son örneğidir ve yeni teknikler ile güvenlik mekanizmalarını atlatmak. Peck, herhangi bir kötü amaçlı kampanyada olduğu gibi, CRON#TRAP gibi saldırılara karşı en iyi korumanın onları daha başlangıçta engellemek olduğunu ve bu durumda kullanıcıları kimlik avı e-postalarına karşı harekete geçmemeleri konusunda eğitmek olacağını söylüyor. Örneğin, kampanyayla ilişkili zip dosyasının ağırlığı 285 MB gibi devasa bir boyuta sahip ve bu bile başlı başına şüphe sebebi olmalı.
Bunun ötesinde, uygulamaların beyaz listeye alınması ve uç nokta izleme gibi önlemler de kuruluşların bu tür kampanyaları tespit etmesine yardımcı olabilir. Peck, “QEMU alışılmadık yöntemlerle yürütüldüğünden, bu bize ilginç tespit fırsatları sunuyor” diyor. Bunun bir örneği, QEMU’nun varsayılan Program Dosyaları dizini dışında çalıştırıldığının tespit edilmesidir. “Beklenmedik uç noktalardan gelen kalıcı SSH bağlantıları gibi ağ tabanlı göstergelerin izlenmesi de bu kampanyanın tespit edilmesine yardımcı olabilir.”
Son gelişmeleri kaçırmayın Dark Reading Gizli podcast’i, NIST’in kuantum sonrası kriptografi standartları ve siber güvenlik uygulayıcıları için sırada ne olacağı hakkında konuştuğumuz yer. General Dynamics Bilgi Teknolojisi (GDIT) ve Carnegie Mellon Üniversitesi’nden konuklar her şeyi ayrıntılı olarak anlatıyor. Şimdi dinle!