Alman Infosec Nextron tehdidi şirketinin araştırmacıları, son derece kalıcı bir arka kapı linux oluşturan ve antivirüs motorlarının kodu zararlı olarak bildirmediğini söyledi.
Nextron Pierre -Henri Pezier’in araştırmacısı, şirketin kötü amaçlı yazılımları “intihal” olarak atadığını, çünkü Deobfuscato kodu “Bay ve Veba, Lord? Sanırım bir bilgisayar korsanımız var” metnini içeriyor.
“Sistem, saldırganların sistemin kimlik doğrulamasını sessizce atlamasına ve kalıcı SSH erişimi elde etmesine izin veren zararlı bir PAM (takılabilir kimlik doğrulama modülü) olarak oluşturulmuştur”, Pezier O yazdı Geçen hafta, kötü amaçlı yazılımın “kimlik doğrulama yığınına derinlemesine entegre olduğunu, sistem güncellemelerinden kurtulduğunu ve neredeyse adli iz bırakmadığını ekliyor. Bulutlar ve çevrenin kurcalanması ile birleştiğinde, bu geleneksel araçları kullanarak tespit etmeyi son derece zorlaştırıyor”.
Pezier, kötü amaçlı yazılımın “bir SSH oturumunun testlerini ortadan kaldırmak için çalışma zamanı ortamını aktif olarak hijyene ettiğini söyledi. SSH_Connection ve SSH_Client gibi ortam değişkenleri, Shell’in komutlarının günlüğünü önlemek için A /Dev /NULL yönlendirilirken, SSH_CLIENT kullanılarak düzeltilmez.”
Kötü amaçlı yazılım, eklenebilir bir kimlik doğrulama modülü (PAM) olarak görünür ve taramadan kaçınmak için gizleme oturumlarının kayıtları da dahil olmak üzere, özel bir dize bulanıklığı sistemi uygulamak ve meşru libselinux.so.8 paylaşılan kütüphanenin adını kullanarak çıkışlardan saklanmak da dahil olmak üzere algılamayı önlemek için çeşitli teknikler kullanır. Ayrıca operatörün kolay erişimine izin vermek için kodlanmış şifreler içerir.
Pam’ın kimlik doğrulamasındaki rolü göz önüne alındığında, arka kapı çok endişe vericidir. Kullanıcı hesabının ayrıntılarını çalmak ve standart bir kimlik doğrulama doğrulaması elde etmek için potansiyel olarak kullanılabilir.
Endişelenmenin bir başka nedeni, Nextron’un kâfirlerin vebayı nasıl kuracağından emin olmamasıdır. Daha da kötüsü, Pezier bilinmeyen parçaların 2024’te Virust tarafından veba varyasyonlarını yüklediğini yazdı, ancak kötü amaçlı yazılım tarama hizmeti kodu hiçbir zaman kötü amaçlı yazılım olarak işaretlemedi.
Bu kötü bir kötü amaçlı yazılımdır, ancak biraz neşeli olmak için bir neden var: Pezier, veba doğasında veba tespit eden araştırmacıların kamusal ilişkilerini bulamadı.
Pezier, “Veba’nın arka kapısı, Linux altyapısı için sofistike ve evrimsel bir tehdidi temsil ediyor ve gizliliği ve sebatları korumak için merkezi kimlik doğrulama mekanizmalarından yararlanıyor”. “Gelişmiş bulutlama, statik kimlik bilgileri ve çevresel kurcalama kullanımı, geleneksel yöntemleri kullanarak tespit etmeyi özellikle zorlaştırıyor.”
Nextron’un yayın sırasında başka yorumları yoktu ve antivirüs satıcıları tarafından temasa geçti Kayıt Yorumu yoktu. Ancak Bsides/Black Hat/DEF güvenlik konferansları için Las Vegas’a giden birçok insanla belki de anlaşılabilir. ®