OzzTech - Linux Sistemlerde Ransomware

Linux Sistemlerde Ransomware

Linux Sistemlerde Ransomware Tehditi

Siber güvenlik araştırmacıları, tamamen Bash'te uygulanan; Linux ve Docker bulut kapsayıcılarını hedefleyen, komuta ve kontrol (C2) iletişimleri için mesajlaşma hizmeti olarak bilinen Telegram'ı kullanan " DarkRadiation " adlı yeni bir fidye yazılımı türünü açıkladılar.

TTrendMicro’nun geçen hafta yayınladığı raporda Fide yazılımı Bash’in, komut dosyasıyla yazılmış ve Red Hat/CentOS, Debian Linux yazımlarını hedef aldığını belirtti. TrendMicro’Nun raporuna göre Kötü amaçlı yazılım, çeşitli dizinlerdeki dosyaları şifrelemek için OpenSSL’nşn CBC modlu AES algoritmasını kullanıyor. Ayrıca tehdit aktörlerine bulaşan virüslerin durumunu göndermek için de Telegram’ın API’ını kullanıyor.

Yazılı olarak, fidye yazılımının gerçek dünya saldırılarında konuşlandırıldığına dair teslimat yöntemleri veya kanıtları hakkında herhangi bir bilgi mevcut değil.

Bulgular, tanımlanamayan tehdit aktörünün altyapısından (IP adresi "185.141.25.168") "api_attack" adlı bir dizinde barındırılan bir hackleme araçları koleksiyonunun analizinden geliyor. Araç seti ilk olarak 28 Mayıs'ta @r3dbU7z adlı bir Twitter kullanıcısı tarafından fark edildi.

DarkRadiation'ın bulaşma zinciri, çok aşamalı bir saldırı sürecini içeriyor. Ayrıca bu zincir, hem Bash komut dosyalarında kötü amaçlı yazılımı almak ve dosyaları şifrelemek konusunda, hem de doğrudan kodlu Telegram API anahtarları aracılığıyla C2 sunucusuyla iletişime geçmesiyle oldukça kayda değerdir.

Aktif geliştirme aşamasında olduğu söylenen fidye yazılımı, kodu birden çok parçaya bölmek için "node-bash-obfuscate " adlı açık kaynaklı bir araç kullanarak Bash komut dosyasını karıştırmak için şaşırtma taktiklerinden yararlanıyor, sonrasında da her segmente başka bir değişken adı verip, orijinal kodu farklı referanslarla değiştiriyor.

Çalışmaya geldiğimizde ise; DarkRadiation öncelikle programın tam yetkili kullanıcı tarafından kullanıldığını kontrol ediyor ve eğer öyleyse Wget, cURL, OpenSSL, kütüphanelerin indirilip kurulabilmesi için yükseltilmiş izinleri kullanıyor. Daha sonra “who” komutunu kullanarak, her beş saniyede bir halihazırda bir Unix sistemine  giriş yapmış kullanıcının anlık görüntüsünü alıyor. Sonuçları ise Telegram API kullanarak saldırgan tarafından kontrol edilen bir sunucuya aktarıyor.

SentinelOne araştırmacılarının pazartesi günü yayınladığı yazıya göre ise "Bunlardan herhangi biri virüslü cihazda mevcut değilse, kötü amaçlı yazılım, RedHat ve CentOS gibi popüler Linux dağıtımları tarafından yaygın olarak benimsenen python tabanlı bir paket yöneticisi olan YUM'u (Yellowdog Updater, Modified) kullanarak gerekli araçları indirmeye çalışıyor,"

Fidye yazılımı, bulaşmanın son aşamasında, güvenliği ihlal edilmiş sistemdeki tüm mevcut kullanıcıların bir listesini alıyor, "megapassword" ile mevcut kullanıcı şifrelerinin üzerine yazıyor ve tüm kabuk kullanıcılarını siliyor. Ancak tüm bunları "ferrum" kullanıcı adıyla yeni bir kullanıcı oluşturmadan önce ve şifreleme işlemine devam etmek için "MegPw0rD3" şifresini kullanmadan önce gerçekleştirmiyor.

İlginç bir şekilde, SentinelOne'ın analizi, "ferrum" kullanıcısının parolasının birkaç sürümde saldırganın C2 sunucusundan indirildiğini, diğerlerinde ise "$MeGaPass123#" gibi dizelerle sabit kodlandığını ve kötü amaçlı yazılımın devam ettiğini; gerçek yazılımın dağıtımdan önce hızlı değişikliklere uğradığını ima eden farklı varyasyonları ortaya koymaktadır.

Trend Micro tehdit araştırmacısı Aliakbar Zahravi ise, "Fidye yazılımının şifrelenmiş bir dosyanın dosya uzantısı olarak radyoaktif semboller ('. ☢ ') eklediğine dikkat edilmelidir."şeklinde konuşmaktadır.

Saldırıyla ilişkili ikinci bir hareketli parça, base64 ile kodlanmış bir parametre biçiminde bir kimlik bilgisi yapılandırması almak üzere tasarlanmış bir SSH solucanıdır. Bu SSH solucanı SSH protokolünü kullanarak hedef sisteme bağlanır ve sonunda fidye yazılımını indirip çalıştırır.

 Çalışma durumunu  şifreleme anahtarıyla birlikte, AP aracılığıyla düşmanın Telegram kanalına geri bildirmenin yanı sıra; DarkRadiation virüslü makinede çalışan tüm Docker sonrasında kullanıcının ekranına bir fidye notu göndererek, kapsayıcılarını durdurma ve etkisiz hale getirme özelliği ile birlikte gelir.

SentinelOne araştırmacıları, "Kabuk komut dosyası dillerinde yazılan kötü amaçlı yazılımların, saldırganların daha çok yönlü olmasına ve bazı yaygın algılama yöntemlerinden kaçınmasına olanak tanıdığını" belirtmiştir.

Yine araştırmacıların söylediğine göre ise "Komut dosyalarının yeniden derlenmesi gerekmediğinden, daha hızlı bir şekilde yinelenebilirler.”  Ayrıca, bazı güvenlik yazılımları statik dosya imzalarına dayandığından, bunlardan tamamen farklı komut dosyaları oluşturmak için hızlı yineleme ve basit gizleme araçlarının kullanımıyla kolayca kaçınılabilir."


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.