Yeni keşfedilen bir tehdit aktörü, kimlik bilgilerini çalma ve kripto madenciliği operasyonlarını katlanarak büyütmek için açık kaynaklı yazılım (OSS) cephaneliğini kullanıyor.
“Crystalray” ilk olarak Şubat ayında, bilinen güvenlik açıklarını istismar etmek için “SSH-Snake” adlı bir penetrasyon testi programı kullandığında tespit edildi. Atlassian’ın Confluence platformuO zamandan bu yana, Sysdig’deki araştırmacılar, saldırı zincirinin hemen her adımını kolaylaştırmak için bir dizi başka OSS aracını birleştirdiğini gözlemlediler.
Belki de kendi kötü amaçlı yazılımını yazmak zorunda kalmayarak tasarruf edilen tüm zaman sayesinde, Crystalray’in etkinliği bu baharda patlama yaşadı. Şu anda dünya çapında 1.800’den fazla benzersiz IP adresine ulaştı ve her an yüzlerce etkin enfeksiyona maruz kaldı. Saldırıların yarısından fazlası ABD ve Çin’de gerçekleşti.
Crystalray’in OSS Saldırı Zinciri
Crystalray’in setindeki ilk araç, ilk keşfi gerçekleştirmek için “ASN” olarak adlandırılır. Bu komut satırı aracı, kullanıcılarının Shodan’a açık portlar, bilinen güvenlik açıkları ve potansiyel hedefler hakkında çalıştırdıkları yazılım ve donanım gibi birçok yararlı veri türü için sorgu göndermesine olanak tanır. GitHub readme dosyasında reklamı yapıldığı gibi, ASN tüm bunları ve daha fazlasını “hedefe tek bir paket bile göndermeden” yapar.
Saldırganlar daha sonra ASN’yi, güvenlik açığı bulunan hizmetleri çalıştıran belirli portları Web’de tarayan “zmap” ile destekliyor.
Zmap’ten elde edilen sonuçlarla tehdit aktörü, hedef alabileceği etki alanının canlı olup olmadığını kontrol etmek için “httpx” HTTP araç takımını çalıştırır.
Artık avı tam olarak tanımlandığına göre, Crystalray zavallı kurbanın hangi bilinen zaaflarla karşı karşıya olabileceğini kontrol etmek için zaaf tarayıcısı “çekirdeklerini” kullanır. Şimdiye kadar, bu süreç muhtemelen bir veya daha fazla Confluence hatasının yanı sıra CVE-2022-44877 CentOS Kontrol Web Panelinde; CVE-2021-3129 Laravel için Ignition’da; ve CVE-2019-18394 Ignite Realtime Open Fire’da — üçü de 10 üzerinden 9,8 CVSS puanı aldı. Nucleus, kullanıcılarına potansiyel bal tuzaklarını tarama olanağı sağlamanın ek avantajını da sunuyor.
Crystalray, bu açık alan adlarını tehlikeye atmak için herhangi bir tür istismar betiği geliştirme zahmetine girmez. Bunun yerine, genel kavram kanıtları istismarları (PoC’ler) kötü amaçlı yüklerini bırakmak için.
OSS Yükleri Hem Kötü Amaçlı Hem de Meşru
Kötü amaçlı yük, komuta ve kontrol için kullandığı platformlar arası bir kırmızı takım çerçevesi olan Sliver’ı veya birden fazla ters kabuğu (Crystalray’in durumunda aynı anda 400’e kadar) yönetmek için kullanılan Go tabanlı bir araç olan Platypus’u içerebilir.
“Bunlardan bazıları meşru açık kaynak araçları değil,” diyor Sysdig’deki tehdit araştırmaları direktörü Michael Clark. Örneğin Platypus, diğerleri gibi OSS olabilir, ancak “meşru bir araç gibi davrandıklarını düşünmüyorum. Bunu kötü amaçlar için sunuyorlar. Ancak çekirdekler gibi proje keşif araçlarının hepsi savunmacılar içindir, bu yüzden biraz karışık.”
Kendini savunuculara pazarlayan bu tür araçlardan biri — saldırganlar için daha kullanışlı olduğu neredeyse kesin olsa da — SSH-Snake’tir. Program, kademeli olarak biriktirerek ve günlük kaydı yaparak yanal ağ hareketini etkinleştiren bir solucandır SSH anahtarları kendini çoğaltmak için kullanır. Crystalray ayrıca, örneğin, bash komut geçmişi dosyalarındaki hassas kimlik bilgilerini keşfetmek için all-bash-history ve Linux-smart-enumeration kullanarak diğer kimlik bilgilerini de hedefler.
Özellikle, grup karaborsalarda sattığı bulut platformları ve yazılım hizmeti (SaaS) e-posta platformlarıyla ilişkili kimlik bilgilerini arar. Diğer gelir kaynağı, saldırganın kripto cüzdanına göre, kendilerine ayda yaklaşık 200 dolar gibi cüzi bir miktar kazandıran iki kripto madencisinden gelir.
OSS Siber Saldırı Araçlarını Kullanmanın Maliyet-Faydası
Clark’ın da düşündüğü gibi, “Tuhaf olan şey, çok sayıda saldırı görmemiz — yılda yüzlercesi — ve bunların çoğunun kendilerinin yazdığı çok daha basit betikler veya Dark Web’den satın aldıkları araçlar kullanması. Meşru açık kaynaklı güvenlik yazılımlarının bu tür kötü amaçlı kullanımını nadiren görüyoruz.”
Tüm bu zaman ve emek tasarrufuna rağmen, bilgisayar korsanlarının OSS’den kaçınmak için çok iyi bir nedeni var: “Çünkü savunmacılar da bunu kullanabiliraçık kaynak kodlu yazılımların harika yanı da budur. Bunu kendi ortamlarında nasıl göründüğünü görmek için birebir yeniden üretebilirler,” diye belirtiyor. “Eğer bir savunmacıysam, gidip Sliver’ı kurabilirim — onunla oynayabilir, nasıl çalıştığını görebilir, savunma araçlarıma karşı nasıl çalıştığını görebilirim. Kapalı kaynaklı bir sürümle, elinize geçmesi çok daha zordur.”
Öte yandan, “Bunlar bazen gelişmiş araçlardır. Bu yüzden bunlara sahip olsanız bile, tespit etmek zor olabilir, çünkü insanlar bu araçları çok iyi hale getirmek için çok çaba harcıyorlar. Savunma amaçlı kullanılsalar bile, savunmacıların gelişmiş saldırıları taklit edebilmesini istiyorlar.” diye ekliyor.