B1txor20
Log4J vulnerability aracılığıyla yayılan ve gizli C2 iletişimleri için DNS tünelleri kullanan “B1txor20” adında yeni bir #Linux botnet #malware keşfedildi.
Makineleri bir botnet’e bağlamak, rootkit’leri indirmek ve kurmak için bir kanal görevi görmek amacıyla Linux sistemlerini hedef alan daha önce belgelenmemiş bir arka kapı gözlemlendi.
Malware “b1t dosya adını, XOR şifreleme algoritmasını ve 20 baytlık RC4 algoritması anahtar uzunluğunu kullanarak yayılması sebebiyle” B1txor20 olarak adlandırıldı.
İlk olarak 9 Şubat 2022’de Log4j güvenlik açığı yoluyla yayıldığı gözlemlenen kötü amaçlı yazılım, DNS sorguları ve yanıtlarındaki verileri kodlayarak komut ve kontrol (CC) sunucularıyla iletişim kanalları oluşturmak için DNS tüneli adı verilen teknikten yararlanıyor.
Kötü amaçlı yazılımın, geçen yıl Aralık ayının ortalarında keşfedilen Log4Shell güvenlik açığından aktif olarak yararlandığı da belirtiliyor. Apache Logging Project’in bir parçası olan popüler Log4j günlük kitaplığındaki sıfırıncı gün (zero day) güvenlik açığını (CVE-2021-44228) düzelten bir acil durum güvenlik güncellemesi yayınlayan Apache Software Foundation geliştiricileri tarafından bulundu.
Nasıl çalışıyor?
B1txor20, bazı yönlerden eksik olsa da, şu anda bir kabuk elde etme, keyfi komutlar yürütme, bir kök kullanıcı takımı kurma, bir SOCKS5 proxy’si açma ve hassas bilgileri C2 sunucusuna geri yükleme işlevlerini desteklemektedir.
Bir makine başarıyla ele geçirildiğinde, kötü amaçlı yazılım, sunucu tarafından gönderilen komutları almak ve yürütmek için DNS tünelini kullanıyor.
Bot, çalınan hassas bilgileri, komut yürütme sonuçlarını ve teslim edilmesi gereken diğer bilgileri, belirli kodlama tekniklerini kullanarak gizledikten sonra, DNS isteği olarak C2’ye gönderiyor. Talebi aldıktan sonra C2, DNS talebine yanıt olarak payload’u Bot tarafına gönderir. Bu sayede Bot ve C2, DNS protokolü yardımıyla iletişim kurar.
Kötü amaçlı bu yazılım sistem bilgilerini yüklemek, rastgele sistem komutlarını yürütmek, dosyaları okumak ve yazmak, proxy hizmetlerini başlatmak veya durdurmak ve ters kabuklar oluşturmak gibi komutlar yürütebiliyor.
Çözüm:
“DNS and Security Gap Visibility” çözümünü mevcut EDR çözümlerine entegre etmeyi seçen kullanıcılar, bu şüpheli alanlara sorgu gönderen belirli uygulamaları tespit edebiliyor. Diğer bir deyişle, ‘Log4J‘ güvenlik açığı sonucunda virüs bulaşan dosyalar, yürütülebilir dosyalar ve uygulamalar doğrudan tespit edilebilir.