Uzmanlık ile amatörlüğün bir aradalığı: Saldırganların güvenilir bir kimlik inşa edip önemli bir paketin bakımcısı olmak için uzun zaman harcamış olması, sosyal mühendislik saldırısına birden fazla kişinin dahil olması, gerçek kimliği ve saldırının kaynağını gizlemeleri ve kullanılan gelişmişlik ile obfuscation teknikleri profesyonelceydi. Ancak bug'ların ve performans düşüşünün production sürümünde ortaya çıkması biraz amatörceydi.
Performans düşüşü nedeniyle ortaya çıkma: Saldırının gelişmişliğine rağmen performans düşüşü fark edilecek kadar belirgindi ve bu sayede keşfedildi. Suç işleyip yakalanmanın sayısız yolu olduğunu ve bunların yalnızca yarısını düşünebiliyorsan dahi dahi sayılacağını söyleyen alıntıyı hatırlatıyor.
Obfuscate edilmiş backdoor analizi: Backdoor'un kendi obfuscation yapısının analiz edilmesi gerekiyor. Binary, Ghidra kullanılarak incelendi ancak yürütmeyi ele geçiren ifunc mekanizmasına aşina olunmadığı için analiz başkalarına bırakıldı. Backdoor şifrelenmiş bir binary olarak sunulduğundan, kodun bir kısmının şifrelenmiş olduğu tahmin ediliyor.
Alternatif bağlantı sağlanması: theaderapp.com için alternatif olarak nitter.poast.org bağlantısı veriliyor.
Keşfin önemi: Backdoor'un yaygınlaşmadan önce bulunmuş olması büyük şans. Tek bir tarafın RCE (uzaktan kod yürütme) sahibi olmasındansa, bunun tüm tarafların erişimine açılması çok daha kötü olurdu.
Saldırganlara dair tartışma eksikliği: Bu olayı ayrıntılı biçimde takip etmemiş olsa da, saldırganlara dair hiçbir tartışma olmaması tuhaf geliyor.
Uzun vadeli stratejiye dair kaygı: Saldırganlar backdoor'u oluşturmak için gereken "altyapıyı" kurmaya zaman harcadığına göre, saldırı gerçek ortamda gerçekleştirildikten sonra da uzun vadeli oynamayı planlamış olmalılar. Bu oyunun hâlâ sürüp sürmediği merak ediliyor.
Performans testi hakkında açıklama talebi: Bu backdoor'u ortaya çıkarmakta kullanılan performans testleriyle ilgili iyi bir açıklama ya da başlangıç düzeyi bir rehber olup olmadığı soruluyor; performans ölçümünün nasıl yapıldığını öğrenmek isteniyor.
Asıl yazara övgü: Henüz kimse değinmemiş olsa da, bu yazının asıl yazarına büyük övgü gönderiliyor. Son derece etkileyici bir çalışma.
1 yorum
Hacker News görüşü
ifuncmekanizmasına aşina olunmadığı için analiz başkalarına bırakıldı. Backdoor şifrelenmiş bir binary olarak sunulduğundan, kodun bir kısmının şifrelenmiş olduğu tahmin ediliyor.theaderapp.comiçin alternatif olaraknitter.poast.orgbağlantısı veriliyor.