Kripto Madencileri Yeni Saldırılarda Yanlış Yapılandırılmış Apache Hadoop ve Flink'i Rootkit ile Hedef Alıyor

Aqua güvenlik araştırmacıları Nitzan Yaakov ve Assaf Morag, bu haftanın başlarında yayınlanan bir analizde, "Bu saldırı, saldırganın kötü amaçlı yazılımı gizlemek için paketleyiciler ve rootkit'ler kullanması nedeniyle özellikle ilgi çekici" dedi. "Kötü amaçlı yazılım, belirli dizinlerin içeriğini siler ve tespit edilmekten kaçınmak için sistem yapılandırmalarını değiştirir."

Hadoop'u hedefleyen enfeksiyon zinciri, bir kümedeki kaynakları izlemekten ve uygulamaları zamanlamaktan sorumlu olan YARN'ın (Yet Another Resource Negotiator) ResourceManager'ındaki bir yanlış yapılandırmadan yararlanır.

Özellikle, yanlış yapılandırma, kimliği doğrulanmamış, uzak bir tehdit aktörü tarafından, kodun yürütüldüğü düğümdeki kullanıcının ayrıcalıklarına tabi olarak, hazırlanmış bir HTTP isteği aracılığıyla rastgele kod yürütmek için kullanılabilir.

Apache Flink'i hedef alan saldırılar da aynı şekilde, uzaktaki bir saldırganın herhangi bir kimlik doğrulaması olmadan kod yürütmesine izin veren bir yanlış yapılandırmayı hedef alır.

Bu yanlış yapılandırmalar yeni değildir ve geçmişte Docker ve Kubernetes ortamlarını cryptojacking ve diğer kötü amaçlı faaliyetler amacıyla hedefleme geçmişiyle tanınan TeamTNT gibi finansal olarak motive olmuş gruplar tarafından istismar edilmiştir.

Ancak en son saldırı setini kayda değer kılan şey, Hadoop ve Flink uygulamalarına ilk dayanağı elde ettikten sonra kripto madenciliği süreçlerini gizlemek için rootkit'lerin kullanılmasıdır.

Araştırmacılar, "Saldırgan, yeni bir uygulama dağıtmak için kimliği doğrulanmamış bir istek gönderiyor" dedi. "Saldırgan, YARN'a bir POST isteği göndererek ve saldırganın komutuyla yeni uygulamayı başlatmayı talep ederek uzak bir kod çalıştırabilir."

Komut, /tmp dizinini mevcut tüm içerikten temizlemek, uzak bir sunucudan "dca" adlı bir dosyayı getirmek ve yürütmek ve ardından /tmp dizinindeki tüm dosyaları bir kez daha silmek için amaca yönelik olarak oluşturulmuştur.

Yürütülen yük, iki rootkit ve bir Monero kripto para madencisi ikili dosyasını almak için bir indirici görevi gören paketlenmiş bir ELF ikili dosyasıdır. Kinsing de dahil olmak üzere çeşitli düşmanların, madencilik sürecinin varlığını gizlemek için rootkit'leri kullanmaya başvurduğunu belirtmekte fayda var.

Kalıcılık elde etmek için, "dca" ikili dosyasını dağıtan bir kabuk betiğini indirmek ve yürütmek için bir cron işi oluşturulur. Tehdit aktörünün altyapısının daha fazla analizi, indiriciyi getirmek için kullanılan hazırlama sunucusunun 31 Ekim 2023'te kaydedildiğini ortaya koyuyor.

Risk azaltma olarak, kuruluşların kripto madencileri, rootkit'leri, gizlenmiş veya paketlenmiş ikili dosyaları ve diğer şüpheli çalışma zamanı davranışlarını tespit etmek için aracı tabanlı güvenlik çözümleri dağıtması önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği