Çin tehdit grubu 'Chamelgang', Linux cihazlarını daha önce bilinmeyen bir implantla 'Chameldoh' ile bulaşır ve saldırgan sunucularıyla DNS-HTTPS iletişimine izin verir.
Özel tehdit oyuncusu ilk olarak Eylül 2021'de pozitif teknolojiler tarafından belgelendi; Ancak, araştırmacılar sadece Windows araç setine odaklandı.
Dün merdiven boşluğu tarafından yayınlanan ve BleepingComputer ile paylaşılan bir rapor, C ++ 'da yazılmış tehdit oyuncunun saldırı cephaneliğini ve uzatma ile saldırganların uzlaşma göstergelerini genişleten yeni bir Linux implantını tanımlıyor.
Chamelgang ve yeni Linux kötü amaçlı yazılım arasındaki bağlantı, daha önce tehdit oyuncusu ile ilişkili bir alana ve geçmiş Chamelgang kampanyalarında pozitif teknolojiler tarafından gözlemlenen özel bir ayrıcalık yükseklik aracına dayanmaktadır.
DNS (Alan Adı Sistemi) protokolü, yazılım ve işletim sistemleri tarafından insan tarafından okunabilen ana bilgisayar adlarını IP adreslerine çözmek için kullanılır ve daha sonra ağ bağlantıları yapmak için kullanılır.
Bununla birlikte, DNS sorguları, kuruluşların, ISS'lerin ve diğerlerinin DNS isteklerini izlemesine izin veren şifrelenmemiş, düz bir metin olarak gönderilir.
Bu bir gizlilik riski olarak kabul edildiğinden ve hükümetlerin İnternet'i sansürlemesine izin verdiğinden, DNS sorgularını şifrelemek için DNS üzerinden DNS-HTTPS adlı yeni bir DNS protokolü oluşturuldu.
Bununla birlikte, kötü amaçlı yazılım etkili bir şifreli iletişim kanalı olarak kullanabileceğinden, bu çift kenarlı bir kılıçtır, bu da güvenlik yazılımının kötü niyetli ağ iletişimini izlemesini zorlaştırır.
Chameldoh söz konusu olduğunda, DNS üzerinden HTTPS, enfekte olmuş bir cihaz ve komut ve kontrol sunucusu arasında şifreli iletişim sağlar ve kötü amaçlı sorguları normal HTTPS trafiğinden ayırt edilemez hale getirir.
Ayrıca DOH, saygın kuruluşlar tarafından sağlanan ve bu durumda görülmeyen DOH uyumlu sunucuları kullanarak yerel DNS sunucularını atlamaya yardımcı olabilir.
Son olarak, DNS istekleri Google ve Cloudflare'den meşru DOH sunucuları kullandığından, meşru trafiği etkilemeden onları engellemek neredeyse imkansızdır.
Chameldoh, C2 ana bilgisayar adlarını ve DOH sorgularını gerçekleştirmek için istismar edilebilecek meşru DOH bulut sağlayıcılarının bir listesini almak için JSON yapılandırmasında "NS_RECORD" ve "DOH" olarak saklanan iki anahtar kullanır.
Tüm kötü amaçlı yazılım iletişimi AES128 ve alfanümerik olmayan karakterlerin ikameleri içeren değiştirilmiş bir Base64 kodlaması kullanılarak şifrelenir. Aktarılan veriler daha sonra listelenen kötü amaçlı yazılım komutuna ve kontrol sunucularına ana bilgisayar adları olarak eklenir.
Bu değişiklik, kötü amaçlı yazılımların, kodlanmış komut ve kontrol sunucusu (C2) iletişimini içeren alan adları için TXT istekleri vermesini, bu isteklerin niteliğini gizleyen ve algılanma olasılığını azaltmasını sağlar.
Örneğin, TXT kaydını sorgularken, kötü amaçlı yazılımdan bir DOH sorgusu .ns2.spezialSec [.]. Com. Sorguyu alan kötü niyetli ad sunucusu daha sonra, enfekte olmuş cihazdan eksfiltre edilmiş verileri almak için kodlanmış kısmı çıkarır ve şifresini çözer.
C2, kötü amaçlı yazılımın enfekte olmuş cihazda yürütülmesi gereken komutları içeren kodlanmış bir TXT kaydıyla yanıt verecektir.
Yürütme üzerine, kötü amaçlı yazılım, adı, IP adresi, CPU mimarisi ve sistem sürümü de dahil olmak üzere ana bilgisayarıyla ilgili temel verileri toplayacak ve benzersiz bir kimlik oluşturacaktır.
Merdiven boşluğu araştırmacıları, Chameldoh'un, operatörlerinin DNS-HTTPS üzerinden alınan TXT kayıtları aracılığıyla uzaktan yayınlanabileceğini aşağıdaki komutları desteklediğini buldular:
Stairwell'in analizi Chameldoh'un Aralık 2022'de ilk olarak Virustotal'a yüklendiğini gösterdi.
Bunu yazarken, platformun AV motorları tarafından kötü niyetli olarak işaretlenmez.
Çinli bilgisayar korsanları casusluk için yeni Linux kötü amaçlı yazılım varyantları kullanıyor
Sahte Warez siteleri aracılığıyla itilen yeni 'şampuan' kromelloader kötü amaçlı yazılım
GitHub Push Windows, Linux Kötü Yazılımlarda Sahte Sıfır Gün POC istismarları
Kurşun geçirmez Hoster, urfsnif, zeus kötü amaçlı yazılımları itmek için 3 yıl alır
Pirated Windows 10 ISOS, EFI bölümleri aracılığıyla Clipper kötü amaçlı yazılımları yükleme
Kaynak: Bleeping Computer