Linux İle İlgili Yeni Tehdit: Quasar Linux (QLNX)
Son zamanlarda keşfedilen Quasar Linux (QLNX), geliştiricilerin sistemlerini hedef alan, rootkit, arka kapı (backdoor) ve kimlik bilgisi çalma (credential-stealing) yetenekleriyle donatılmış bir malware kitidir. Bu tehdit, yazılım geliştirme ve DevOps ortamlarında, özellikle npm, PyPI, GitHub, AWS, Docker ve Kubernetes gibi platformlarda tedarik zinciri saldırılarına yol açabilir.
Saldırı Nasıl Çalışıyor?
Trend Micro’nun yaptığı analizlere göre, QLNX, “hedef sistemde rootkit paylaşımlı nesneleri ve PAM arka kapı modüllerini dinamik olarak derleyerek” çalışır. Daha özel olarak, QLNX’nin tasarımı şu özelliklerle dikkat çeker:
- Sızma ve Kalıcılık: QLNX, bellek içinde çalışarak, orijinal binary dosyasını diskten siler, logları temizler, işlem adlarını sahte isimlerle değiştirir ve adli inceleme değişkenlerini sıfırlar.
- Yedi Farklı Kalıcılık Mekanizması: Bu mekanizmalar arasında LD_PRELOAD, systemd, crontab, init.d betikleri, XDG autostart ve ‘.bashrc’ enjekte etme yöntemleri bulunur. Böylece her dinamik bağlı işlemde yüklenir ve öldürüldüğünde yeniden hayata döner.
Etkilenen Sistemler
QLNX, çeşitli işlevsel bloklara sahip olmakla birlikte, temel bileşenleri şu şekilde özetlenebilir:
- RAT Core: 58 komutluk bir çerçeve üzerinde inşa edilmiş merkezi kontrol bileşeni. Etkileşimli shell erişimi, dosya ve işlem yönetimi, sistem kontrolü ve ağ işlemleri sağlar.
- Rootkit: Kullanıcı alanında LD_PRELOAD rootkit ve çekirdek düzeyinde eBPF bileşeni içeren çift katmanlı gizlilik mekanizması.
- Kimlik Bilgisi Erişim Katmanı: SSH anahtarları, tarayıcılar ve bulut konfigurasyonları gibi kimlik bilgilerini toplar.
- Gözetim Modülü: Tuş kaydı, ekran görüntüsü alma ve panoya izleme işlevleri.
- Ağ ve Yan Yanal Hareket: TCP tünelleme, SOCKS proxy, port tarama gibi işlevler içerir.
- İşlem Enjeksiyonu ve Yürütme Motoru: Bellek içi yürütme ve payload enjeksiyonu (ptrace, /proc/pid/mem).
- Dosya Sistemi İzleme: Gerçek zamanlı dosya aktivitesi takibi sağlar.
Çözüm ve Korunma
QLNX, ilk erişim sağladıktan sonra dosyasız bir etki alanı kurarak kalıcılık ve gizlilik mekanizmalarını devreye sokar. Geliştirici iş istasyonlarını hedef alarak kurumsal güvenlik kontrollerini atlayabilir ve yazılım teslim boru hatlarını etkileyen kimlik bilgilerine erişim sağlar.
Önemli Uyarı: QLNX şu an sadece dört güvenlik çözümü tarafından kötü amaçlı olarak algılanmaktadır. Kullanıcıların, bu tür tehditlere karşı koruma sağlamak için şu önlemleri alması tavsiye edilir:
- Güncellemeleri Yükleyin: Sistem ve yazılım güncellemelerinizi düzenli olarak kontrol edin ve güncelleyin.
- Portları Kapatın: Gereksiz açık portları kapatarak sistem güvenliğinizi artırın.
- Güvenlik Kuralı Oluşturun: Bilgisayarınıza yüklediğiniz yazılımları güvenilir kaynaklardan aldığınızdan emin olun ve izinsiz değişiklikleri takip edin.
Unutmayın, etkili bir siber güvenlik stratejisi için düzenli izleme ve güncellemeler kritik öneme sahiptir.
