Linux tabanlı sistemlerde keşfedilen yeni, tespit edilmesi zor kötü amaçlı yazılım saldırıları


Neden önemli: Bu haftanın başlarında, Blackberry ve Intezer’den araştırmacılar, Latin Amerika finans kurumlarını hedef alan, tespit edilmesi zor bir Linux kötü amaçlı yazılımı hakkında bilgi yayınladılar. Symbiote olarak bilinen tehdit, yetkisiz kullanıcılara kimlik bilgilerini toplama veya hedef makineye uzaktan erişim sağlama yeteneği sağlar. Virüs bulaştığında, tüm kötü amaçlı yazılımlar gizlenir ve algılanamaz hale gelir.

Intezer’den Joakim Kennedy ve Blackberry Araştırma ve İstihbarat Ekibi keşfetti tehdidin, kullanıcıların bir ana bilgisayara bulaşmak için çalıştırması gereken tipik bir yürütülebilir dosya yerine paylaşılan bir nesne kitaplığı (SO) olarak sunduğu. Bir kez virüs bulaştığında, SO hedef makinede o anda çalışan işlemlere yüklenir.

Etkilenen bilgisayarlar, tehdit aktörlerine kimlik bilgilerini toplama, uzaktan erişim yeteneklerinden yararlanma ve aksi takdirde yetkisiz yükseltilmiş ayrıcalıklarla komutları yürütme yeteneği sağlar. Kötü amaçlı yazılım, LD_PRELOAD yönergesi aracılığıyla diğer paylaşılan nesnelerden önce yüklenir, izin vermek algılamayı önlemek için. Önce yüklenmek, kötü amaçlı yazılımın diğer yüklenen kitaplık dosyalarından yararlanmasına da olanak tanır.

Yukarıda açıklanan eylemlere ek olarak, Symbiote, belirli geçici dosyalar oluşturarak, virüslü paket filtreleme bayt kodunu ele geçirerek veya belirli paket yakalama işlevlerini kullanarak UDP trafiğini filtreleyerek virüslü makinenin ağ etkinliğini gizleyebilir. bu Böğürtlen ve Intezer Bloglar, teknik ayrıntılarla ilgileniyorsanız, her yöntemin ayrıntılı açıklamalarını sağlar.

Ekip, tehdidi ilk olarak 2021’de Latin Amerika merkezli finans kurumlarında tespit etti. O zamandan beri ekip, kötü amaçlı yazılımın bilinen diğer kötü amaçlı yazılımlarla hiçbir kod paylaşmadığını belirleyerek onu Linux işletim sistemlerine yönelik tamamen yeni bir kötü amaçlı yazılım tehdidi olarak sınıflandırdı. Yeni tehdidin bulunması zor olacak şekilde tasarlanmış olsa da, yöneticiler anormal DNS isteklerini tespit etmek için ağ telemetrisini kullanabilir. Güvenlik analistleri ve sistem yöneticileri, statik olarak bağlantılı antivirüs (AV) ve uç nokta algılama ve yanıt (EDR) araçlarını da kullanabilir. kullanıcı alanı düzeyinde rootkit’ler hedef makinelere bulaşmayın.


Kaynak : https://www.techspot.com/news/94913-new-hard-detect-malware-attacks-discovered-linux-based.html

Yorum yapın