Giriş
Son günlerde siber güvenlik dünyasında büyük bir tehdit ortaya çıktı; kötü niyetli bir Go modülü, kullanıcıların parola bilgilerini çalıp, Rekoobe adında bir Linux arka kapı kurmak için kullanılmakta. Bu durum, yazılım bağımlılıkları aracılığıyla sistemlere sızma riskini gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Kötü amaçlı Go modülü, github[.]com/xinfeisoft/crypto adresinde bulunmakta olup, meşhur golang.org/x/crypto kod tabanını taklit ederek kullanıcı bilgilerini ele geçiriyor. Araştırmacı Kirill Boychenko, bu saldırıyı “isim alanı karışıklığı ve meşru kod tabanının taklidi” olarak tanımlıyor.
Modül, kullanıcıların terminalde parolalarını girdiği zamanı hedef alarak, ReadPassword() fonksiyonunu çağırdığında bilgileri dışa aktarıyor. Bu bilgiler, bir uzaktan sunucuya iletiliyor ve ardından kötü niyetli bir kabuk betiği indiriliyor.
Etkilenen Sistemler
Rekoobe arka kapısı, kurulum işlemi sırasında /home/ubuntu/.ssh/authorized_keys dosyasına tehdit aktörünün SSH anahtarını eklemekte. Ayrıca, iptables varsayılan politikalarını ACCEPT olarak ayarlayarak güvenlik duvarı kısıtlamalarını gevşetiyor. İndirilen iki yükten biri, internet bağlantısını test etmekte ve 154.84.63[.]184 IP adresine TCP üzerinden iletişim kurmaya çalışmaktadır. İkinci yük, Rekoobe trojanı olarak bilinen ve 2015 yılından bu yana tespit edilen bir kötü amaçlı yazılımdır. Rekoobe, bir saldırgan tarafından kontrol edilen sunucudan komutlar alarak başka yükler indirme, dosyaları çalma ve ters kabuk çalıştırma yeteneğine sahiptir.
Çözüm ve Korunma
Go güvenlik ekibi, kötü amaçlı paketi engelleme adımlarını atmış olsa da, bu tür saldırılar tekrar edebilir. Kullanıcıların aşağıdaki adımları izlemesi önerilmektedir:
- (Güncelleme) Yazılımlarınızı güncel tutun.
- (Hızlı Kontrol) Bağımlılıklarınızdaki paketlerin güvenilir kaynaklardan geldiğinden emin olun.
- (Firewall) Gereksiz açık portları kapatın ve güvenlik duvarı kurallarınızı gözden geçirin.
- (SSH) SSH anahtarlarınızı güvenli bir şekilde yönetin ve yetkisiz erişimleri kontrol edin.
Sonuç
Bu tür saldırılara karşı proaktif olmak her zaman en iyi yaklaşımdır. Yazılımlarınızı güncelleyerek, açık portları kapatarak ve güvenlik uygulamalarınızı gözden geçirerek siber tehditlere karşı daha dirençli olabilirsiniz. Unutmayın, saldırganlar yarının hedeflerini belirlemek için bugün çalışıyorlar.
