B1txor20 Linux Botnet DNS Tünel Kullanarak Log4J Zafiyetine Neden Oluyor

Makineleri bir botnet’e bağlamak ve rootkit’leri indirmek,kurmak için tünel görevi görmek amacıyla Linux sistemlerini hedef alan daha önce raporlanmamış bir arka kapı tespit edildi. Qihoo 360’ın Netlab güvenlik ekibi, “b1t dosya adını, XOR şifreleme algoritmasını ve 20 baytlık RC4 algoritması anahtar uzunluğunu kullanarak yayılmasına dayanarak” B1txor20 olarak isimlendirdi.

İlk olarak 9 Şubat 2022’de Log4j güvenlik açığı yoluyla yayıldığı gözlemlenen kötü amaçlı yazılım, DNS sorguları ve yanıtlarındaki verileri kodlayarak command-and-control (C2) sunucularıyla iletişim kanalları oluşturmak için DNS tüneli adı verilen bir teknikten yararlanıyor.

B1txor20, aynı zamanda bazı yönlerden hatalı olsa da, şu anda bir shell elde etme, rastgele kod yürütme gibi bir SOCKS5 proxy’si açma ve hassas bilgileri C2 sunucusuna geri yükleme gibi işlemleri desteklemekte ve bir makine başarıyla ele geçirildiğinde, kötü amaçlı yazılım, sunucu tarafından gönderilen komutları almak ve yürütmek için DNS tünelini kullanıyor. Araştırmacılar, “Bot, çalınan hassas bilgileri, komut yürütme sonuçlarını ve teslim edilmesi gereken diğer bilgileri, belirli kodlama tekniklerini kullanarak gizledikten sonra, DNS isteği olarak C2’ye gönderir” dedi. “Talebi aldıktan sonra C2, DNS talebine yanıt olarak payload’u Bot tarafına gönderir. Bu sayede Bot ve C2, DNS protokolü yardımıyla iletişim kuruyor.”

Tüm bu işlemler için toplam 15 komut uygulanmakta, bunların başlıcaları sistem bilgilerini yüklemek, rastgele sistem komutlarını yürütmek, dosyaları okumak ve yazmak, proxy hizmetlerini başlatmak ve durdurmak ve reverse shell oluşturmak için kullanılmakta.

Kaynak: thehackernews.com

Exit mobile version