ozztech_logo_white

Linux Sistemlerde Ransomware

Linux Sistemlerde Ransomware Tehditi

Siber güvenlik araştırmacıları, tamamen Bash’te uygulanan; Linux ve Docker bulut kapsayıcılarını hedefleyen, komuta ve kontrol (C2) iletişimleri için mesajlaşma hizmeti olarak bilinen Telegram’ı kullanan ” DarkRadiation ” adlı yeni bir fidye yazılımı türünü açıkladılar.

TTrendMicro’nun geçen hafta yayınladığı raporda Fide yazılımı Bash’in, komut dosyasıyla yazılmış ve Red Hat/CentOS, Debian Linux yazımlarını hedef aldığını belirtti. TrendMicro’Nun raporuna göre Kötü amaçlı yazılım, çeşitli dizinlerdeki dosyaları şifrelemek için OpenSSL’nşn CBC modlu AES algoritmasını kullanıyor. Ayrıca tehdit aktörlerine bulaşan virüslerin durumunu göndermek için de Telegram’ın API’ını kullanıyor.

Yazılı olarak, fidye yazılımının gerçek dünya saldırılarında konuşlandırıldığına dair teslimat yöntemleri veya kanıtları hakkında herhangi bir bilgi mevcut değil.

Bulgular, tanımlanamayan tehdit aktörünün altyapısından (IP adresi “185.141.25.168”) “api_attack” adlı bir dizinde barındırılan bir hackleme araçları koleksiyonunun analizinden geliyor. Araç seti ilk olarak 28 Mayıs’ta @r3dbU7z adlı bir Twitter kullanıcısı tarafından fark edildi.

DarkRadiation’ın bulaşma zinciri, çok aşamalı bir saldırı sürecini içeriyor. Ayrıca bu zincir, hem Bash komut dosyalarında kötü amaçlı yazılımı almak ve dosyaları şifrelemek konusunda, hem de doğrudan kodlu Telegram API anahtarları aracılığıyla C2 sunucusuyla iletişime geçmesiyle oldukça kayda değerdir.

Aktif geliştirme aşamasında olduğu söylenen fidye yazılımı, kodu birden çok parçaya bölmek için “node-bash-obfuscate ” adlı açık kaynaklı bir araç kullanarak Bash komut dosyasını karıştırmak için şaşırtma taktiklerinden yararlanıyor, sonrasında da her segmente başka bir değişken adı verip, orijinal kodu farklı referanslarla değiştiriyor.

Çalışmaya geldiğimizde ise; DarkRadiation öncelikle programın tam yetkili kullanıcı tarafından kullanıldığını kontrol ediyor ve eğer öyleyse Wget, cURL, OpenSSL, kütüphanelerin indirilip kurulabilmesi için yükseltilmiş izinleri kullanıyor. Daha sonra “who” komutunu kullanarak, her beş saniyede bir halihazırda bir Unix sistemine  giriş yapmış kullanıcının anlık görüntüsünü alıyor. Sonuçları ise Telegram API kullanarak saldırgan tarafından kontrol edilen bir sunucuya aktarıyor.

SentinelOne araştırmacılarının pazartesi günü yayınladığı yazıya göre ise “Bunlardan herhangi biri virüslü cihazda mevcut değilse, kötü amaçlı yazılım, RedHat ve CentOS gibi popüler Linux dağıtımları tarafından yaygın olarak benimsenen python tabanlı bir paket yöneticisi olan YUM’u (Yellowdog Updater, Modified) kullanarak gerekli araçları indirmeye çalışıyor,”

Fidye yazılımı, bulaşmanın son aşamasında, güvenliği ihlal edilmiş sistemdeki tüm mevcut kullanıcıların bir listesini alıyor, “megapassword” ile mevcut kullanıcı şifrelerinin üzerine yazıyor ve tüm kabuk kullanıcılarını siliyor. Ancak tüm bunları “ferrum” kullanıcı adıyla yeni bir kullanıcı oluşturmadan önce ve şifreleme işlemine devam etmek için “MegPw0rD3” şifresini kullanmadan önce gerçekleştirmiyor.

İlginç bir şekilde, SentinelOne’ın analizi, “ferrum” kullanıcısının parolasının birkaç sürümde saldırganın C2 sunucusundan indirildiğini, diğerlerinde ise “$MeGaPass123#” gibi dizelerle sabit kodlandığını ve kötü amaçlı yazılımın devam ettiğini; gerçek yazılımın dağıtımdan önce hızlı değişikliklere uğradığını ima eden farklı varyasyonları ortaya koymaktadır.

Trend Micro tehdit araştırmacısı Aliakbar Zahravi ise, “Fidye yazılımının şifrelenmiş bir dosyanın dosya uzantısı olarak radyoaktif semboller (‘. ☢ ‘) eklediğine dikkat edilmelidir.”şeklinde konuşmaktadır.

Saldırıyla ilişkili ikinci bir hareketli parça, base64 ile kodlanmış bir parametre biçiminde bir kimlik bilgisi yapılandırması almak üzere tasarlanmış bir SSH solucanıdır. Bu SSH solucanı SSH protokolünü kullanarak hedef sisteme bağlanır ve sonunda fidye yazılımını indirip çalıştırır.

 Çalışma durumunu  şifreleme anahtarıyla birlikte, AP aracılığıyla düşmanın Telegram kanalına geri bildirmenin yanı sıra; DarkRadiation virüslü makinede çalışan tüm Docker sonrasında kullanıcının ekranına bir fidye notu göndererek, kapsayıcılarını durdurma ve etkisiz hale getirme özelliği ile birlikte gelir.

SentinelOne araştırmacıları, “Kabuk komut dosyası dillerinde yazılan kötü amaçlı yazılımların, saldırganların daha çok yönlü olmasına ve bazı yaygın algılama yöntemlerinden kaçınmasına olanak tanıdığını” belirtmiştir.

Yine araştırmacıların söylediğine göre ise “Komut dosyalarının yeniden derlenmesi gerekmediğinden, daha hızlı bir şekilde yinelenebilirler.”  Ayrıca, bazı güvenlik yazılımları statik dosya imzalarına dayandığından, bunlardan tamamen farklı komut dosyaları oluşturmak için hızlı yineleme ve basit gizleme araçlarının kullanımıyla kolayca kaçınılabilir.”

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »