Siber güvenlik araştırmacıları, yeni ve tamamen tespit edilmemiş bir Linux tehdidinin örtüsünü kaldırdı. OrBitpopüler işletim sistemine yönelik kötü amaçlı yazılım saldırılarına yönelik artan bir eğilim.
Kötü amaçlı yazılım, siber güvenlik firması Intezer’e göre, yürütülen komutların çıktısını (“/tmp/.orbit”) geçici olarak depolamak için kullanılan dosya adlarından birinden alır.
Güvenlik araştırmacısı Nicole Fishbein, “Süreklilik yetenekleriyle veya uçucu bir implant olarak kurulabilir” söz konusu. “Kötü amaçlı yazılım, gelişmiş kaçınma teknikleri uygular ve temel işlevleri bağlayarak makinede kalıcılık kazanır, tehdit aktörlerine SSH üzerinden uzaktan erişim yetenekleri sağlar, kimlik bilgilerini toplar ve TTY komutlarını günlüğe kaydeder.”
OrBit, BPFDoor, Symbiote ve Syslogk’tan üç ay gibi kısa bir süre içinde ortaya çıkan dördüncü Linux kötü amaçlı yazılımıdır.
Kötü amaçlı yazılım ayrıca, güvenliği ihlal edilmiş makinelerde çalışan tüm işlemlere bulaşmak üzere tasarlandığı için Symbiote gibi çalışır. Ancak, ikincisinden farklı olarak, LD_PRELOAD ortam değişkeni OrBit, paylaşılan nesneyi yüklemek için iki farklı yöntem kullanır.
Fishbein, “İlk yol, paylaşılan nesneyi yükleyici tarafından kullanılan yapılandırma dosyasına eklemektir,” diye açıkladı. “İkinci yol, yükleyicinin ikili dosyasını yamalayarak kötü niyetli paylaşılan nesneyi yüklemektir.”
Saldırı zinciri şu şekilde başlar: ELF damlalık çıkarmaktan sorumlu olan dosya yük (“libdl.so”) ve tarafından yüklenen paylaşılan kitaplıklara eklenmesi dinamik bağlayıcı.
Hileli paylaşılan kitaplık, kanca fonksiyonları üç kitaplıktan – libc, libcap ve Takılabilir Kimlik Doğrulama Modülü (PAM) – mevcut ve yeni süreçlerin değiştirilmiş işlevleri kullanmasına neden olur, esasen kimlik bilgilerini toplamasına, ağ etkinliğini gizlemesine ve ana bilgisayara SSH üzerinden uzaktan erişim kurmasına izin verir. radarın altında kalırken.
Ayrıca OrBit, varlığını uyarmadan çalışmasına ve virüslü makinelerden kaldırılmasını zorlaştıracak şekilde kalıcılık oluşturmasına izin veren bir dizi yönteme güvenir.
Bir kez devreye girdikten sonra, arka kapının nihai amacı, sonuçları belirli dosyalarda saklanan bash ve sh komutları da dahil olmak üzere makinede yürütülen işlemler tarafından yazılan verileri yakalamak için okuma ve yazma işlevlerini bağlayarak bilgileri çalmaktır.
Fishbein, “Bu kötü amaçlı yazılımı özellikle ilginç kılan şey, kötü amaçlı yazılımın bilgi çalıp SSH arka kapısını ayarlarken kalıcılık kazanmasına ve tespitten kaçmasına izin veren, kitaplıkların kurban makinesine neredeyse hermetik olarak takılmasıdır.” Dedi.
“Linux’u hedef alan tehditler başarılı bir şekilde güvenlik araçlarının radarı altında kalırken gelişmeye devam ediyor, şimdi OrBit yeni kötü amaçlı yazılımların ne kadar kaçamak ve kalıcı olabileceğinin bir başka örneği.”
