Araştırmacılar, Çinli Hacker’larla Bağlantılı Yeni Linux Kötü Amaçlı Yazılımını Açıkladı

Çarşamba günü siber güvenlik araştırmacıları, Çinli ulus devlet aktörlerinin işi olduğuna inanılan Linux uç noktalarını ve sunucuları hedefleyen yeni ve sofistike bir arka kapıya ışık tuttu.

Intezer tarafından ” RedXOR ” olarak adlandırılan arka kapı, kötü amaçlı yazılım ile daha önce PWNLNX, XOR.DDOS ve Groundhog gibi Winnti Umbrella (veya Axiom) tehdit grubu ile ilişkili olanlar arasında bulunan benzerliklerle bir polkit arka plan programı olarak maskelenir.

RedXOR’un adı, ağ verilerini XOR’a dayalı bir şema ile kodlaması ve eski bir GCC derleyicisi ile Red Hat Enterprise Linux ‘un eski bir sürümünde derlenmesinden kaynaklanıyor ve kötü amaçlı yazılımın eski Linux ‘a yönelik hedefli saldırılarda kullanıldığını öne sürüyor. sistemleri.

Intezer , kötü amaçlı yazılımın iki örneğinin , Çinli tehdit grupları tarafından seçildiği bilinen her iki ülkenin de 23-24 Şubat tarihlerinde Endonezya ve Tayvan’dan yüklendiğini söyledi .

Kenara genel akışını ve işlevleri ve RedXOR ve PWNLNX arasında kodlayan XOR kullanımı açısından örtüşme ile ilgili, arka kapı bir unstripped 64 bit halini alır ELF bir tam dosyası ( “po1kitd güncelleme-k”), typosquatted ad (“po1kitd” ve “polkitd”), çalıştırıldığında kendisini makineye yüklemeden önce kötü amaçlı yazılımla ilgili dosyaları depolamak için gizli bir dizin oluşturmaya devam eder.

Polkit (née PolicyKit) yetkileri tanımlamak ve yönetmek için bir araç setidir ve ayrıcalıklı olmayan süreçlerin ayrıcalıklı süreçlerle iletişim kurmasına izin vermek için kullanılır.

Ek olarak, kötü amaçlı yazılım, bir TCP soketi üzerinden bağlantı kurmadan önce komut ve kontrol (C2) IP adresini ve bağlantı noktasını ve C2 sunucusunda kimlik doğrulaması için ihtiyaç duyduğu parolayı barındıran şifreli bir yapılandırmayla birlikte gelir.

Dahası, iletişimler yalnızca zararsız HTTP trafiği olarak gizlenmekle kalmaz, aynı zamanda bir XOR şifreleme şeması kullanılarak her iki şekilde de kodlanır ve bunun sonuçları, çalıştırılacak tam komutu ortaya çıkarmak için çözülür.

RedXOR, sistem bilgisi toplama (MAC adresi, kullanıcı adı, dağıtım, saat hızı, çekirdek sürümü vb.), Dosya işlemleri gerçekleştirme, sistem ayrıcalıklarıyla komut yürütme, rastgele kabuk komutları çalıştırma ve hatta uzaktan güncelleme seçenekleri dahil olmak üzere çok sayıda yeteneği destekler.

RedXOR tarafından mağdur edilen kullanıcılar, süreci sonlandırarak ve kötü amaçlı yazılımla ilgili tüm dosyaları kaldırarak koruyucu önlemler alabilir.

Kaynak : thehackernews

>>Diğer Haberler İçin Tıklayınız

En son haberler

İlgili haberler