Krasue RAT napada Linux servere

AUTOR ·

Prema istraživanju sigurnosne kompanije Group-IB, zlonamjerni softver Krasue RAT napada Linux servere telekomunikacionih kompanija i uspio je da ostane sakriven od 2021. godine.

Krasue RAT

Krasue RAT napada Linux servere; Source: Bing Image Creator

KRASUE RAT

Ranije ove godine, sigurnosni istraživači su uspjeli da otkriju trojanski zlonamjerni softver za daljinski pristup (eng. Remote Access Trojan – RAT) na serverskim Linux sistemima koji je već duže vreme izbjegavao detekciju. Sigurnosni istraživaču su otkrili da je ovaj zlonamjerni softver da je na Virustotal platformi registrovan 2021. godine. Krasue RAT predstavlja ozbiljan rizik za kritične sisteme i osjetljive podatke s obzirom da je u stanju da omogući napadačima daljinski pristup ciljnoj mreži. Zlonamjerni softver ima ugrađene rootkit mogućnosti binarnu datoteku.

Jedan od razloga zašto je Krasue RAT uspješno izbjegavao detekciju možda leži u tome što stariji Linux serveri često imaju lošiju pokrivenost sa softverom za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR). Drugi razlog je vjerovatno taj što je upakovane zlonamjerne softvere obično teže otkriti bezbjednosnim rješenjima. Krasue RAT koristi UPX pakovanje, a takođe poboljšava svoje mogućnosti izbjegavanja tako što se demonizuje, pokreće se kao pozadinski proces i zanemaruje SIGINT signale.

 

DISTRIBUCIJA

Sigurnosni istraživači nisu uspjeli da utvrde vektor infekcije i punu mogućnost Krasue RAT upotrebe. Infekcija sistema vjerovatno počinje putem iskorištavanja ranjivosti, napadom grube sile na korisničke podatke za prijavu, ili što je rjeđe, preuzeti kao dio obmanjujućeg paketa ili binarne datoteke iz nepouzdanog izvora treće strane.

 

FUNKCIONISANJE

Krasue RAT kreira podređeni proces i uspostavlja UDP server priključak na portu 52699, čiji je zadatak da očekuje komande od komandnog i kontrolnog servera (C2). Za zaštitu komunikacije između zlonamjernog softvera i zlonamjernog aktera C2 komunikacija se šifruje sa AES-CBC enkripcijom.

Zlonamjerni softver može da označi IP adresu kao svoj glavni C2 server. Primijećena je upotreba DESCRIBE metoda koji se koristi kod reprodukovanja u realnom vremenu (eng. Real Time Streaming Protocol – RTSP), mrežnom protokolu dizajniranom za kontrolu isporuke medijskih tokova u realnom vremenu preko IP mreža. Često se koristi kodaplikacija kao što su video reprodukovanja u realnom vremenu i sistema video nadzora.

Sigurnosni istraživači su pronašli 9 IP adresa upisanih u kôdu ovog zlonamjernog softvera za glavni C2 server. Krasue RAT će uvijek pokušati da se poveže sa ovim adresama, tek poslije neuspjeha pokušava da se poveže sa 128[.]199[.]226[.]11 adresom preko porta 554 koji se obično koristi za RTSP. Postoji sumnja da zlonamjerni akteri na ovaj način pokušavaju da sakriju svoju mrežnu komunikaciju, a korištenje RTSP protokola za ovu svrhu je veoma neuobičajeno.

 

Rootkit

Krasue RAT je rootkit je Linux modul jezgra (eng. Linux Kernel Module – LKM) i cilja na Linux verzije jezgra (eng. kernel) 2.6x/3.10.x. LKM je objektna datoteka koja se može dinamički učitavati u jezgro Linux operativnog sistema u toku rada. Proširuje funkcionalnost jezgra bez potrebe za ponovnom kompajliranjem ili modifikacijom cijelog izvornog kôda jezgra. Rootkit se maskira kao Vmware upravljači softver i ne sadrži važeći digitalni potpis.

Kako bi podržao različite verzije Linux jezgra sistema, zlonamjerni softver ima 7 kompajliranih verzija rootkit softvera. Nakon što RAT odredi verziju jezgra sistema, pokušava da instalira rootkit koristeći ELF sliku u prostor jezgra sistema. Takvi moduli ne opstaju kada se sistem ponovo pokrene, zbog čega zlonamjerni akteri na kraju iskoriste Krasue RAT dobijaju postojanost u ciljnoj mreži ranije u lancu napada.

Izgleda da je kôd zasnovan na 3 različita LKM rootkit otvorenog kôda: Diamorfin, Suterusu, Rooti. Svi rootkit zlonamjerni softver, njih sedam, je kompajlirano iz istog izvora i imaju iste funkcionalnosti, a imaju i iste lažne metapodatke, odnosno opis “VMware User Mode Helper”.

 

Tajni mehanizmi

Rootkit koristi sistemsko presretanje funkcijskih poziva ili poruka ili događaja koji se prenose između softverskih komponenti (eng. call hooking) prepisivanjem pokazivača funkcija u tabeli sistemskih poziva i modifikovanjem prologa ciljne funkcije.

Tokom faze pokretanja, rootkit prikriva svoje prisustvo. Datoteke i direktorijumi koji počinju sa nazivima “auwd” i “vmware_helper” su sakriveni od spiskova direktorijuma. Štaviše, rootkit poboljšava svoje prikrivene mogućnosti sakrivanjem portova 52695 do 52699.

 

KRASUE RAT I XORDDOS

Krasue RAT ima dosta sličnosti sa XorDdos Linux zlonamjernim softverom. Funkcionalnosti ova dva zlonamjerna softvera su znatno različite, ali njihove rootkit komponente su pokazale neka preklapanja. Linux rootkit zlonamjerni softveri obično pokazuju neke sličnosti, jer uzimaju reference iz javnih izvora, ali ova dva uzorka pokazuju određene dijelove kôda koji su prilično karakteristični. Zbog toga sigurnosni istraživači mogu sa određenim stepenom sigurnosti tvrditi da je ova dva zlonamjerna softvera kreirao isti autor kao XorDdos ili neko ko ima pristup izvornom kôdu XorDdos zlonamjernog softvera.

 

ZAKLJUČAK

S obzirom na to da su različiti akteri prijetnji koristili dijelove kôda iz tri različita projekta otvorenog kôda (Diamorfin, Suterusu, Rooti) da bi kreirali Krasue rootkit, teško je tačno pripisati izvorni kôd određenoj zlonamjernoj grupi.

Dostupne informacije nisu dovoljne da se Krasue RAT pripiše nekom zlonamjernom akteru ili grupi koji ga koriste, ali činjenica da su ovi zlonamjerni programi u stanju da ostanu ispod radara tokom dužeg perioda jasno pokazuje da je neophodna kontinuirana budnost i bolje mjere bezbjednosti.

 

ZAŠTITA

Obratiti pažnju na sumnjivi mrežni saobraćaj preko RTSP protokola.

  • Preuzimati softver i softverske pakete samo iz pouzdanih i zvaničnih izvora. Koristiti renomirane repozitorije koje obezbjeđuje distribucija Linux operativnog sistema ili provjerenih izvora treće strane sa jakom reputacijom za bezbjednost,
  • Konfigurisati jezgro operativnog sistema da učitava samo potpisane module, kako bi se osiguralo da se samo moduli sa važećim digitalnim potpisom iz pouzdanog izvora mogu učitati,
  • Redovno pregledati sistemske i mrežne evidencije za bilo kakve sumnjive aktivnosti,
  • Obavljajte redovne bezbjednosne revizije serverskog okruženja. Ovo uključuje pregled konfiguracije sistema, provođenje procjene ranjivosti i izvođenje penetracijskog testiranja da bi se identifikovale sve potencijalne slabosti i odgovarajuće mjere za ispravljanje.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.