Siber güvenlik araştırmacılarının kötü niyetli aktörlerin radarı altında olmaya devam ettiğinin bir işareti olarak, GitHub’da “kurnazca” bir kalıcılık yöntemiyle bir arka kapıyı gizleyen bir kavram kanıtı (PoC) keşfedildi.
Uptycs araştırmacıları Nischay Hegde ve Siddartha Malladi, “Bu örnekte PoC, koyun postuna bürünmüş bir kurt ve zararsız bir öğrenme aracı kisvesi altında kötü niyet barındırıyor.” söz konusu. “Bir indirici olarak çalışırken, sessizce bir Linux bash betiğini boşaltır ve yürütür, bu sırada faaliyetlerini çekirdek düzeyinde bir işlem olarak gizler.”
bu havuz için bir PoC kılığına girer CVE-2023-35829, Linux çekirdeğinde yakın zamanda açıklanan yüksek önem dereceli bir kusur. O zamandan beri kaldırıldı, ancak 25 kez çatallanmadan önce değil. Başka bir PoC için aynı hesap olan ChriSanders22 tarafından paylaşılıyor CVE-2023-20871VMware Fusion’ı etkileyen bir ayrıcalık yükseltme hatası olan , iki kez çatallandı.
Uptypcs ayrıca bir ikinci GitHub profili CVE-2023-35829 için sahte bir PoC içeren. Yazma tarihi itibariyle hala mevcuttur ve 19 kez çatallanmıştır. daha yakından incelenmesi işlem geçmişi değişikliklerin ChriSanders22 tarafından gönderildiğini gösterir, bu da orijinal depodan çatallandığını düşündürür.
Arka kapı, güvenliği ihlal edilmiş ana bilgisayarlardan hassas verileri çalmanın yanı sıra bir tehdit aktörünün SSH anahtarını .ssh/yetkili_keys dosyasına ekleyerek uzaktan erişim kazanmasına olanak tanıyan çok çeşitli yeteneklerle birlikte gelir.
Araştırmacılar, “PoC, kaynak kod dosyalarından yürütülebilir dosyaları derlemek ve oluşturmak için kullanılan bir otomasyon aracı olan make komutunu çalıştırmamızı istiyor” dedi. “Ancak Makefile içinde, kötü amaçlı yazılımı oluşturan ve yürüten bir kod parçacığı bulunur. Kötü amaçlı yazılım, adlı bir dosyayı adlandırır ve çalıştırır. kişçi$HOME/.local/kworker yolunu $HOME/.bashrc’ye ekleyerek kalıcılığını sağlar.”
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Geliştirme, VulnCheck’in Discord, Google Chrome, Microsoft Exchange Server, Signal ve WhatsApp gibi popüler yazılımlar için PoC açıkları kisvesi altında kötü amaçlı yazılım dağıtmak için güvenlik araştırmacısı kılığına giren bir dizi sahte GitHub hesabı keşfetmesinden yaklaşık bir ay sonra gelir.
PoC’leri indiren ve çalıştıran kullanıcılara yetkisiz SSH anahtarları, kworker dosyasını silmeleri, kworker yolunu bashrc dosyasından silmeleri ve olası tehditler için /tmp/.iCE-unix.pid’i kontrol etmeleri önerilir.
Araştırmacılar, “Meşru PoC’leri aldatıcı olanlardan ayırt etmek zor olsa da, yalıtılmış ortamlarda (ör. sanal makineler) test yapmak gibi güvenli uygulamaları benimsemek bir koruma katmanı sağlayabilir” dedi.