Nowoczesna technologia daje nam wiele możliwości.

Szkodliwe oprogramowanie Krasue RAT ukrywa się na serwerach Linux za pomocą wbudowanych rootkitów


Badacze bezpieczeństwa odkryli trojana zdalnego dostępu, którego nazwali Krasue, którego celem są systemy Linux firm telekomunikacyjnych i udało mu się pozostać niewykrytym od 2021 roku.

Odkryli, że plik binarny Krasue zawiera siedem wariantów rootkita, który obsługuje wiele wersji jądra Linuksa i opiera się na kodzie z trzech projektów open source.

Według badaczy z firmy zajmującej się cyberbezpieczeństwem Group-IB podstawową funkcją szkodliwego oprogramowania jest utrzymywanie dostępu do komputera hosta, co może wskazywać, że jest on rozwijany za pośrednictwem botnetu lub sprzedawany przez brokerów pierwszego dostępu podmiotom zagrażającym szukającym dostępu do określonego celu.

Badacze uważają, że trojan zdalnego dostępu (RAT) Krasue może zostać wykorzystany na późniejszym etapie ataku, specjalnie w celu utrzymania dostępu do hosta ofiary.

Nie jest jasne, w jaki sposób złośliwe oprogramowanie jest dystrybuowane, ale może zostać dostarczone po wykorzystaniu luki, w wyniku ataku siłowego lub nawet pobrane z niezaufanego źródła w postaci pakietu lub pliku binarnego podszywającego się pod legalny produkt.

Wydaje się, że Krasue kieruje reklamy wyłącznie do firm telekomunikacyjnych w Tajlandii.

Profil aktora zagrażającego
profil aktora zagrażającego (Grupa-IB)

Wewnątrz znajduje się rootkit

Analiza przeprowadzona przez Group-IB ujawniła, że ​​rootkit znajdujący się w pliku binarnym Krasue RAT to moduł jądra systemu Linux (LKM), który po uruchomieniu udaje niepodpisany sterownik VMware.

Rootkity na poziomie jądra są trudne do wykrycia i usunięcia, ponieważ działają na tym samym poziomie bezpieczeństwa co system operacyjny.

Rootkit obsługuje wersje jądra Linuksa 2.6x/3.10.x, co pozwala mu pozostać niezauważonym, ponieważ starsze serwery z systemem Linux zazwyczaj mają słaby zasięg wykrywania i reagowania punktów końcowych – twierdzą badacze.

Grupa IB odkryła, że ​​wszystkie siedem wbudowanych wersji rootkita ma te same wywołania systemowe i możliwości połączeń w tym samym trybie oraz używa tej samej fałszywej nazwy „VMware User Mode Helper”.

Metadane rootkita
Metadane rootkita (Grupa-IB)

Badając kod, badacze odkryli, że rootit opiera się na trzech rootkitach LKM o otwartym kodzie źródłowym, a mianowicie Diamorfina, Suterousoui Korzenistywszystkie są dostępne co najmniej od 2017 roku.

Rootkit Krasue może ukryć lub ukryć porty, uczynić procesy niewidocznymi, przyznać uprawnienia roota i wykonać polecenie kill dla dowolnego identyfikatora procesu. Może również zatrzeć swoje ślady, ukrywając pliki i katalogi związane ze złośliwym oprogramowaniem.

Podczas za pomocą serwera dowodzenia i kontroli (C2) Krasue może przyjmować następujące polecenia:

  • świst – Odpowiedz za pomocą „ponga”.
  • Pan – Ustaw master przed C2
  • informacje – Uzyskaj informacje o złośliwym oprogramowaniu: główny pid, pid podrzędny i jego status, np. „root: uzyskał uprawnienia roota”, „god: proces nie może zostać zabity”, „ukryty: proces jest ukryty”, „moduł: rootkit jest załadowany”
  • ponownie uruchomić – Uruchom ponownie proces potomny
  • zregenerować – Uruchom ponownie główny proces
  • Bóg nie żyje - Zabić się

Group-IB odkryła dziewięć różnych adresów IP C2 zakodowanych w złośliwym oprogramowaniu, z których jeden korzysta z portu 554, który jest wspólny dla połączeń RTSP (protokół przesyłania strumieniowego w czasie rzeczywistym).

Wykorzystanie protokołu sieciowego warstwy aplikacji RTPS do komunikacji złośliwego oprogramowania C2 bardzo powszechne i można je uznać za osobliwość w przypadku Krasue.

RTSP to protokół kontroli sieci przeznaczony dla serwerów multimediów strumieniowych, który pomaga tworzyć i kontrolować sesje odtwarzania multimediów dla strumieni i audio, nawigacja multimediów, zarządzanie przebiegiem konferencji i nie tylko.

Chociaż pochodzenie szkodliwego oprogramowania Krasue nie jest znane, badacze odkryli, że część dotycząca rootkita w pewnym stopniu pokrywa się z rootkitem innego szkodliwego oprogramowania dla systemu Linux o nazwie XorDdos.

Group-IB uważa, że ​​wskazuje to na to, że obie rodziny szkodliwego oprogramowania mają wspólnego autora/operatora. Możliwe jest również, że programista Krasue również miał dostęp do kodu XorDdos.

Na razie rodzaj ugrupowania zagrażającego stojącego za Krause pozostaje tajemnicą, ale firma zajmująca się cyberbezpieczeństwem udostępniła wskaźniki kompromisu i zasady YARA, aby pomóc obrońcom zidentyfikować to zagrożenie i być może zachęcić innych badaczy do opublikowania swojej wiedzy o złośliwym oprogramowaniu.



VIA: bleepingcomputer.com

Obserwuj TechWar.gr w Google News

Odpowiedz