Yeni "B1txor20" Linux Botnet, DNS Tüneli Kullanıyor ve Log4J Kusurunu Yaratıyor

Yeni "B1txor20" Linux Botnet, DNS Tüneli Kullanıyor ve Log4J Kusurunu Yaratıyor

 


Makineleri bir botnet'e bağlamak ve rootkit'leri indirmek ve kurmak için bir kanal görevi görmek amacıyla Linux sistemlerini hedef alan daha önce belgelenmemiş bir arka kapı gözlemlendi.

Qihoo 360'ın Netlab güvenlik ekibi, "b1t dosya adını, XOR şifreleme algoritmasını ve 20 baytlık RC4 algoritması anahtar uzunluğunu kullanarak yayılmasına dayanarak" B1txor20 olarak adlandırdı.

İlk olarak 9 Şubat 2022'de Log4j güvenlik açığı yoluyla yayıldığı gözlemlenen kötü amaçlı yazılım, DNS sorguları ve yanıtlarındaki verileri kodlayarak komut ve kontrol (C2) sunucularıyla iletişim kanalları oluşturmak için DNS tüneli adı verilen bir teknikten yararlanır.

B1txor20, aynı zamanda bazı yönlerden hatalı olsa da, şu anda bir kabuk elde etme, keyfi komutlar yürütme, bir kök kullanıcı takımı kurma, bir SOCKS5 proxy'si açma ve hassas bilgileri C2 sunucusuna geri yükleme işlevlerini desteklemektedir.

Bir makine başarıyla ele geçirildiğinde, kötü amaçlı yazılım, sunucu tarafından gönderilen komutları almak ve yürütmek için DNS tünelini kullanır.

Araştırmacılar, "Bot, çalınan hassas bilgileri, komut yürütme sonuçlarını ve teslim edilmesi gereken diğer bilgileri, belirli kodlama tekniklerini kullanarak gizledikten sonra, bir DNS isteği olarak C2'ye gönderir" dedi.

"Talebi aldıktan sonra C2, DNS talebine yanıt olarak payload'u Bot tarafına gönderir. Bu sayede Bot ve C2, DNS protokolü yardımıyla iletişim kurar."

Toplam 15 komut uygulanmaktadır, bunların başlıcaları sistem bilgilerini yüklemek, rastgele sistem komutlarını yürütmek, dosyaları okumak ve yazmak, proxy hizmetlerini başlatmak ve durdurmak ve ters kabuklar oluşturmaktır.


Bu yayınları beğenebilirsiniz