Ερευνητές ασφαλείας ανακάλυψαν έναν trojan απομακρυσμένης πρόσβασης που ονόμασαν Krasue, ο οποίος στοχεύει συστήματα Linux των εταιρειών τηλεπικοινωνιών και κατάφεραν να παραμείνει απαρατήρητος από το 2021.
Βρήκαν ότι το δυαδικό του Krasue περιλαμβάνει επτά παραλλαγές ενός rootkit που υποστηρίζει πολλαπλές εκδόσεις πυρήνα Linux και βασίζεται σε κώδικα από τρία έργα ανοιχτού κώδικα.
Σύμφωνα με ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB, η κύρια λειτουργία του κακόβουλου λογισμικού είναι να διατηρεί πρόσβαση στον κεντρικό υπολογιστή, κάτι που μπορεί να υποδηλώνει ότι αναπτύσσεται μέσω ενός
botnet
ή πωλείται από μεσίτες αρχικής πρόσβασης σε παράγοντες απειλών που αναζητούν πρόσβαση σε έναν συγκεκριμένο στόχο.
Οι ερευνητές πιστεύουν ότι το Krasue απομακρυσμένης πρόσβασης trojan (RAT) μπορεί να αναπτυχθεί κατά τη διάρκεια ενός μεταγενέστερου σταδίου της επίθεσης ειδικά για να διατηρήσει την πρόσβαση στον κεντρικό υπολογιστή-θύμα.
Δεν είναι σαφές πώς διανέμεται το κακόβουλο λογισμικό, αλλά θα μπορούσε να παραδοθεί μετά από εκμετάλλευση μιας ευπάθειας, μετά από επίθεση ωμής βίας ή ακόμα και λήψη από μη αξιόπιστη πηγή ως πακέτο ή δυαδικό που υποδύεται ένα νόμιμο προϊόν.
Η στόχευση του Krasue φαίνεται να περιορίζεται σε εταιρείες τηλεπικοινωνιών στην Ταϊλάνδη.
Το προφίλ του ηθοποιού απειλών
(Group-IB)
Rootkit μέσα
Η ανάλυση από το Group-IB αποκάλυψε ότι το rootkit μέσα στο δυαδικό σύστημα του Krasue RAT είναι ένα Linux Kernel Module (LKM) που μεταμφιέζεται σε ανυπόγραφο πρόγραμμα οδήγησης
VMware
μετά την εκτέλεση.
Τα rootkit σε επίπεδο πυρήνα είναι δύσκολο να εντοπιστούν και να αφαιρεθούν επειδή λειτουργούν στο ίδιο επίπεδο ασφάλειας με το λειτουργικό σύστημα.
Το rootkit υποστηρίζει τις εκδόσεις του πυρήνα Linux είναι 2.6x/3.10.x, κάτι που του επιτρέπει να παραμένει στο ραντάρ επειδή οι παλαιότεροι διακομιστές Linux έχουν συνήθως κακή κάλυψη Ανίχνευσης και Απόκρισης Τελικού Σημείου, λένε οι ερευνητές.
Το Group-IB διαπίστωσε ότι και οι επτά ενσωματωμένες εκδόσεις του rootkit διαθέτουν τις ίδιες δυνατότητες σύνδεσης κλήσης συστήματος και λειτουργίας και χρησιμοποιούν το ίδιο ψεύτικο όνομα “VMware User Mode Helper”.
Μεταδεδομένα του Rootkit
(Group-IB)
Εξετάζοντας τον κώδικα, οι ερευνητές διαπίστωσαν ότι το rootit βασίζεται σε τρία rootkits LKM ανοιχτού κώδικα, συγκεκριμένα
Διαμορφίνη
,
Σουτερούσου
και
Με πολλές ρίζες
όλα είναι διαθέσιμα τουλάχιστον από το 2017.
Το rootkit Krasue μπορεί να κρύψει ή να αποκρύψει τις θύρες, να κάνει τις διεργασίες αόρατες, να παρέχει δικαιώματα root και να εκτελέσει την εντολή kill για οποιοδήποτε αναγνωριστικό διεργασίας. Μπορεί επίσης να καλύψει τα ίχνη του κρύβοντας αρχεία και καταλόγους που σχετίζονται με κακόβουλο λογισμικό.
Κατά την επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2), ο Krasue μπορεί να αποδεχτεί τις ακόλουθες εντολές:
-
ping
– Απάντηση με «πονγκ». -
κύριος
– Ρυθμίστε το master upstream C2 -
πληροφορίες
– Λάβετε πληροφορίες σχετικά με το κακόβουλο λογισμικό: main pid, child pid και την κατάστασή του, όπως “root: αποκτήθηκαν δικαιώματα root”, “god: η διαδικασία δεν μπορεί να σκοτωθεί”, “hidden: η διαδικασία είναι κρυφή”, “module: rootkit είναι φορτωμένος” -
επανεκκίνηση
– Επανεκκινήστε τη διαδικασία του παιδιού -
αναγεννώ
– Επανεκκινήστε την κύρια διαδικασία -
ο θεος πεθανε
– Να αυτοκτονήσει
Το Group-IB ανακάλυψε εννέα διακριτές διευθύνσεις IP C2 κωδικοποιημένες στο κακόβουλο λογισμικό, με τη μία να χρησιμοποιεί τη θύρα 554, η οποία είναι κοινή στις συνδέσεις RTSP (πρωτόκολλο ροής σε πραγματικό χρόνο).
Η χρήση του πρωτοκόλλου δικτύου σε επίπεδο
εφαρμογή
ς RTPS για επικοινωνία κακόβουλου λογισμικού C2 δεν είναι πολύ συνηθισμένη και θα μπορούσε να θεωρηθεί ως ιδιαιτερότητα στην περίπτωση του Krasue.
Το RTSP είναι ένα πρωτόκολλο ελέγχου δικτύου σχεδιασμένο για διακομιστές πολυμέσων ροής, που βοηθά στη δημιουργία και τον έλεγχο περιόδων αναπαραγωγής πολυμέσων για ροές
βίντεο
και ήχου, πλοήγηση πολυμέσων, διαχείριση ροών συνδιάσκεψης και άλλα.
Αν και η προέλευση του κακόβουλου λογισμικού Krasue είναι άγνωστη, οι ερευνητές βρήκαν στο τμήμα του rootkit κάποιες ε
πικα
λύψεις με το rootkit ενός άλλου κακόβουλου λογισμικού Linux που ονομάζεται XorDdos.
Το Group-IB πιστεύει ότι αυτό αποτελεί ένδειξη ότι οι δύο οικογένειες κακόβουλου λογισμικού έχουν έναν κοινό συγγραφέα/χειριστή. Είναι επίσης πιθανό ο προγραμματιστής του Krasue να είχε επίσης πρόσβαση στον κώδικα XorDdos.
Προς το παρόν, ο τύπος του παράγοντα απειλής πίσω από το Krause εξακολουθεί να είναι μυστήριο, αλλά η εταιρεία κυβερνοασφάλειας έχει μοιραστεί δείκτες συμβιβασμού και κανόνες YARA για να βοηθήσει τους υπερασπιστές να εντοπίσουν αυτήν την απειλή και ίσως να ενθαρρύνουν άλλους ερευνητές να δημοσιεύσουν ό,τι γνωρίζουν για το κακόβουλο λογισμικό.
VIA:
bleepingcomputer.com