Yeni Tehdit: VoidLink Malware
Yeni keşfedilen gelişmiş bir bulut tabanlı Linux zararlısı olan VoidLink, bulut ortamlarına odaklanarak saldırganlara özel yükleyiciler, implantlar, rootkit’ler ve modern altyapılar için eklentiler sunuyor. Bu zararlı yazılım, aktif olarak geliştirilen bir proje olduğu izlenimini veren geniş belgelerle birlikte Zig, Go ve C dilleriyle yazılmıştır.
Saldırı Nasıl Çalışıyor?
VoidLink, Linux sistemleri için modüler bir pasif sömürü çerçevesidir. Saldırganlar, ele geçirilen makinelere gizlice erişim sağlarken genişletilebilir eklentilerle işlevselliği artırabilir ve belirli bulut ve konteyner ortamlarına göre davranışını uyarlayabilir. İmplanta aktif hale geldiği anda, aşağıdaki bilgileri kontrol eder:
- Docker veya Kubernetes ortamında çalışıp çalışmadığını belirler.
- AWS, GCP, Azure, Alibaba ve Tencent gibi bulut sağlayıcılarının meta verilerini sorgular.
Elde edilen bilgiler, yüklenicinin kontrollü davranışını ayarlamak için operatöre sunulur.
Etkilenen Sistemler
VoidLink, sistem detaylarını toplarken, güvenlik çözümleri ve sertleştirme önlemleri doğrultusunda bir risk puanı hesaplar. Bu süreçte, aşağıdaki unsurları gözlemler:
- Çekirdek versiyonu
- Hypervisor
- İşlemler
- Ağ durumu
- EDR’ler, çekirdek sertleştirme ve izleme araçları
Bu toplama işlemlerinin ardından, implant çeşitli protokollerle operatörle iletişim kurar. VoidStream adı verilen özel bir şifreli mesajlaşma katmanı kullanarak trafiği normal web veya API etkinliği gibi kamufle eder.
VoidLink’in Özellikleri
VoidLink mevcut sürümlerinde, şu anda varsayılan yapılandırma ile birlikte 35 eklenti kullanmaktadır:
- Keşif (sistem, kullanıcılar, işlemler, ağ)
- Bulut ve konteyner envanteri ve kaçış yardımcıları
- Kimlik bilgisi toplama (SSH anahtarları, Git kimlik bilgileri, jetonlar, API anahtarları, tarayıcı verileri)
- Yanal hareket (shell’ler, port yönlendirme, SSH tabanlı yayılma)
- Süreklilik mekanizmaları (dinamik bağlantı kitaplığı kullanımı, cron işlerini, sistem hizmetlerini)
- Anti-forensics (log silme, geçmiş temizleme, zaman damgası değiştirme)
Çözüm ve Korunma
VoidLink‘in gelişmiş ve karmaşık yapısı, saldırganların çok sayıda özelliği kolayca kullanabilmesine olanak tanıyor. Bu yüzden işletim sistemlerinde aşağıdaki önlemleri almanız kritik önem arzetmektedir:
- Tüm sistemleriniz için güncellemeleri gerçekleştirin.
- Ağınızdaki açık portları kapatın.
- Güvenlik duvarı ve izleme sistemlerini etkinleştirin.
- Şüpheli aktiviteleri izlemek için EDR çözümleri kullanın.
Sonuç olarak, VoidLink zararlısının etkilerini en aza indirmek ve sistemlerinizin güvenliğini sağlamak için zamanında hareket etmek hayati öneme sahiptir.
