Kore İnternet ve Güvenlik Ajansı (KISA), SKT hacklemesini doğrularken 8 kötü amaçlı yazılım varyantı tespit etti

xguru · 2025-05-04T09:16:01+09:00

SKT ihlal olayına müdahale sırasında, Linux sistemlerini hedef alan BPFDoor ailesine ait mevcut 4 kötü amaçlı yazılıma ek olarak 8 kötü amaçlı yazılım varyantı daha bulundu Kalıcı sızma amaçlı arka kapılar oldukları için iz bırakmadıklarından, daha fazla bilginin sızdırılmış olma ihtimali bulunuyor İlk aşamada bilinen smartadm dışında, dbus-srv, inode262394, rad vb. de ek olarak tespit edildi; bunlar sistem süreci kılığına girme, rootkit, arka kapı kurma gibi işlevlere sahip Kötü amaçlı yazılımla ilgili bilgiler (varyant oldukları için hash değeriyle doğrulanamadı; adlarına göre bulunan tahmini işlev bilgileri) ○ dbus-srv dbus-daemon adlı sistem süreci gibi davranarak çalışır Sistem bilgisi toplama ve uzaktan komut çalıştırma işlevlerine sahiptir Şifreleme ve obfuscation ile tespitten kaçınır Arka kapı olduğundan şüphelenilmektedir ve harici C2 (Command-and-Control) sunucusuyla iletişim kurabilir ○ inode262394 Dosya sisteminin inode yapısını taklit ederek gizlenir Rootkit işlevleri ile kendi varlığını gizler ve system call hooking gibi işlemler yürütür Sistem yetkisi yükseltme ve kalıcı erişim yetkisi elde etme girişiminde bulunur BPFDoor ek açıklama BPFDoor, uzun süre gizli kalabilen bir Linux arka kapı kötü amaçlı yazılımıdır; Berkeley Packet Filter (BPF) kullanan pasif ağ izleme sayesinde port açmadan ağ trafiğini gözlemleyebilen, yüksek düzeyde gizlilik sağlayan bir saldırı aracıdır BPF özelliği nedeniyle güvenlik duvarını aşabilir ve ağ trafiğini gizlice dinleyebilir Sistem süreci kılığına girmek için /usr/libexec/postfix/master gibi yollardan çalıştırılır ve süreç listesinde sıradan bir servis gibi görünür Çoğunlukla bellek üzerinde çalışır ve diskte iz bırakmaz; bu nedenle adli bilişim analizinden kaçınma açısından da avantajlıdır 2023'te ortaya çıkan güçlü varyantın başlıca özellikleri şunlardır Şifreleme yöntemi: Önceden RC4 → libtomcrypt statik kütüphanesi tabanlı şifreleme İletişim yöntemi: Önceden Bind Shell → Reverse Shell ile alt süreç ters yönde bağlantı kurar Komut işleme: Önceden sabit kodlanmış komutlar → artık tüm komutlar gerçek zamanlı alınır Dosya adı: Önceden sabitti → artık dinamik olarak üretiliyor Tespit sonrasında da alt süreç ile ana süreci ayırarak tespitten kaçınmaya çalışır Kaynak kodu GitHub'da açık olarak yayınlanmış durumda

(boho.or.kr)

3 puan yazan xguru 2025-05-04 | 1 yorum | WhatsApp'ta paylaş

SKT ihlal olayına müdahale sırasında, Linux sistemlerini hedef alan BPFDoor ailesine ait mevcut 4 kötü amaçlı yazılıma ek olarak 8 kötü amaçlı yazılım varyantı daha bulundu
- Kalıcı sızma amaçlı arka kapılar oldukları için iz bırakmadıklarından, daha fazla bilginin sızdırılmış olma ihtimali bulunuyor
İlk aşamada bilinen smartadm dışında, dbus-srv, inode262394, rad vb. de ek olarak tespit edildi; bunlar sistem süreci kılığına girme, rootkit, arka kapı kurma gibi işlevlere sahip

Kötü amaçlı yazılımla ilgili bilgiler (varyant oldukları için hash değeriyle doğrulanamadı; adlarına göre bulunan tahmini işlev bilgileri)

○ dbus-srv

dbus-daemon adlı sistem süreci gibi davranarak çalışır
Sistem bilgisi toplama ve uzaktan komut çalıştırma işlevlerine sahiptir
Şifreleme ve obfuscation ile tespitten kaçınır
Arka kapı olduğundan şüphelenilmektedir ve harici C2 (Command-and-Control) sunucusuyla iletişim kurabilir

○ inode262394

Dosya sisteminin inode yapısını taklit ederek gizlenir
Rootkit işlevleri ile kendi varlığını gizler ve system call hooking gibi işlemler yürütür
Sistem yetkisi yükseltme ve kalıcı erişim yetkisi elde etme girişiminde bulunur

BPFDoor ek açıklama

BPFDoor, uzun süre gizli kalabilen bir Linux arka kapı kötü amaçlı yazılımıdır; Berkeley Packet Filter (BPF) kullanan pasif ağ izleme sayesinde port açmadan ağ trafiğini gözlemleyebilen, yüksek düzeyde gizlilik sağlayan bir saldırı aracıdır
- BPF özelliği nedeniyle güvenlik duvarını aşabilir ve ağ trafiğini gizlice dinleyebilir
Sistem süreci kılığına girmek için /usr/libexec/postfix/master gibi yollardan çalıştırılır ve süreç listesinde sıradan bir servis gibi görünür
Çoğunlukla bellek üzerinde çalışır ve diskte iz bırakmaz; bu nedenle adli bilişim analizinden kaçınma açısından da avantajlıdır
2023'te ortaya çıkan güçlü varyantın başlıca özellikleri şunlardır
- Şifreleme yöntemi: Önceden RC4 → libtomcrypt statik kütüphanesi tabanlı şifreleme
- İletişim yöntemi: Önceden Bind Shell → Reverse Shell ile alt süreç ters yönde bağlantı kurar
- Komut işleme: Önceden sabit kodlanmış komutlar → artık tüm komutlar gerçek zamanlı alınır
- Dosya adı: Önceden sabitti → artık dinamik olarak üretiliyor
- Tespit sonrasında da alt süreç ile ana süreci ayırarak tespitten kaçınmaya çalışır
Kaynak kodu GitHub'da açık olarak yayınlanmış durumda

1 yorum

brainer 2025-05-04

Görünen o ki her şeyin ele geçirilmiş olma ihtimali var ..