Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

NSA bağlantılı Bvp47 Linux arka kapısı 10 yıldır yaygın olarak tespit edilmedi

NSA bağlantılı Bvp47 Linux arka kapısı 10 yıldır yaygın olarak tespit edilmedi

Bugün yayınlanan bir rapor, ABD Ulusal Güvenlik Ajansı’na bağlı gelişmiş kalıcı tehdit aktörü olan Equation Group ile bağlantılı, artık Bvp47 olarak izlenen bir Linux arka kapısının teknik yönlerini derinlemesine inceliyor.

Bvp47, yaklaşık on yıl önce, 2013’ün sonlarında Virus Total antivirüs veritabanına ilk kez gönderilmesine rağmen bugüne kadar neredeyse fark edilmeden hayatta kaldı.

Bu sabaha kadar Virus Total’de yalnızca bir antivirüs motoru Bvp47 örneğini algıladı. Rapor infosec topluluğunda yayıldıkça, algılama gelişmeye başladı ve yazıldığı anda altı motor tarafından işaretlendi.

23 Şubat 2022'ye kadar Bvp47 Linux arka kapı algılama
kaynak: BleepingComputer

Denklem Grubu bağlantısı

Çinli bir siber güvenlik şirketi olan Pangu Lab’deki Gelişmiş Siber Güvenlik Araştırma ekibi, 2013 yılında “önemli bir yerel departmandaki bir ana bilgisayarın adli soruşturması” sırasında anlaşılması zor kötü amaçlı yazılımı bulduğunu söylüyor.

Adli incelemeden elde edilen Bvp47 örneğinin, etkinleştirmek için özel bir anahtar gerektiren RSA asimetrik şifreleme algoritmasıyla korunan bir uzaktan kontrol işlevine sahip Linux için gelişmiş bir arka kapı olduğu kanıtlandı.

Tarafından yayınlanan sızıntılarda özel anahtarı buldular. Gölge Komisyoncular NSA’nın siber saldırı ekibi Denklem Grubu tarafından kullanılan bilgisayar korsanlığı araçlarını ve sıfırıncı gün açıklarını içeren 2016-2017 yılları arasındaki hacker grubu.

içindeki bazı bileşenler Shadow Brokers sızıntıları Bvp47 çerçevesine – “dewdrop” ve “solutionchar_agents” – entegre edildi – bu, implantın ana Linux dağıtımları, Juniper’s JunOS, FreeBSD ve Solaris gibi Unix tabanlı işletim sistemlerini kapsadığını gösteriyor.

Pangu Lab’ın Bvp47 kötü amaçlı yazılımını Equation Group’a atfetmesinin yanı sıra, arka kapının otomatik analizi de aynı aktörden alınan başka bir örnekle benzerlikler gösteriyor.

Kaspersky’nin Tehdit İlişkilendirme Motoru (KTAE), 483 dizeden 34’ünün, henüz %30 benzerliğe sahip Solaris SPARC sistemleri için Denklemle ilgili başka bir örnekten alınanlarla eşleştiğini gösteriyor. başka bir Denklem kötü amaçlı yazılımı 2018’de Virus Total’e gönderildi ve tehdit istihbaratı araştırmacısı Deresz tarafından 24 Ocak 2022’de yayınlandı.

Diğer Equation kötü amaçlı yazılımlarıyla Bvp47 Linux arka kapı korelasyonu
kaynak: Kaspersky

Global Araştırma ve Analiz Ekibi Direktörü Costin Raiu KasperskyBleepingComputer’a Bvp47’nin kod düzeyindeki benzerliklerinin şirketin mevcut kötü amaçlı yazılım koleksiyonundaki tek bir örnekle eşleştiğini söyledi.

Bu, kötü amaçlı yazılımın yaygın olarak kullanılmadığını gösterir, çünkü genellikle onları yüksek düzeyde hedefli saldırılarda kullanan üst düzey tehdit aktörlerinin hackleme araçlarıyla olur.

Bvp47 Linux arka kapısı durumunda, Pangu Lab araştırmacıları bunun telekom, askeri, yüksek eğitim, ekonomi ve bilim sektörlerindeki hedeflerde kullanıldığını söylüyor.

Kötü amaçlı yazılımın 45 ülkede 287’den fazla kuruluşa çarptığını ve 10 yıldan fazla bir süredir büyük ölçüde tespit edilmediğini belirtiyorlar.

Bvp47 Linux arka kapı hedefleri
kaynak: Pangu Laboratuvarı

Saldırı aşamaları

Pangu Lab’ın olay analizi, biri harici bir saldırının hedefi ve diğer iki dahili makine olmak üzere üç sunucuyu içeriyordu – bir e-posta sunucusu ve bir iş sunucusu.

Bvp47 kötü amaçlı yazılım saldırısı
kaynak: Pangu Laboratuvarı

Araştırmacılara göre, tehdit aktörü, 264 baytlık bir yüke sahip bir TCP SYN paketi aracılığıyla harici sunucu ile e-posta sunucusu arasında bir bağlantı kurdu.

“Neredeyse aynı zamanda, [email] sunucu bağlanır [business] sunucunun SMB hizmetini kullanır ve sunucuya giriş yapmak da dahil olmak üzere bazı hassas işlemleri gerçekleştirir. [business] yönetici hesabı olan, terminal hizmetlerini açmaya çalışan, dizinleri numaralandıran ve zamanlanmış görevler aracılığıyla Powershell betiklerini yürüten sunucu” – Pangu Laboratuvarı

İş sunucusu daha sonra “Powershell betiği ve ikinci aşamanın şifreli verileri dahil” ek dosyaları indirmek için e-posta makinesine bağlandı.

Güvenliği ihlal edilmiş iki makineden birinde, diğerine iki HTML dosyası sunan bir HTTP sunucusu başlatılır. Dosyalardan biri, asimetrik olarak şifrelenmiş veriler içeren “index.htm” dosyasını indiren, base64 ile kodlanmış bir PowerShell betiğiydi.

Pangu Lab araştırmacıları raporlarında, iki dahili makine arasındaki bir bağlantının, şifreli verileri “kendi protokolü” aracılığıyla iletmek için kullanıldığını söylüyor.

Araştırmacılar, sunucular arasındaki iletişimi geri yükleyebildiler ve bunu, makine A’nın harici sistem ve V1/V2’nin sırasıyla e-posta ve iş sunucusu olduğu aşağıdaki adımlarda özetlediler:

  1. A Makinesi, bir vuruntu isteği göndermek ve V1 sunucusunda arka kapı programını başlatmak için V1 sunucusunun 80 numaralı bağlantı noktasına bağlanır
  2. V1 sunucusu, bir veri hattı oluşturmak için A makinesinin üst uç bağlantı noktasını ters olarak bağlar
  3. V2 sunucusu, V1 sunucusunda açılan arka kapı web hizmetine bağlanır ve V1 sunucusundan PowerShell yürütmesini alır
  4. V1 sunucusu, komut işlemlerini gerçekleştirmek için V2 sunucusunun SMB hizmet bağlantı noktasına bağlanır
  5. V2 sunucusu, üst uç bağlantı noktasında V1 sunucusuyla bağlantı kurar ve veri alışverişi için kendi şifreleme protokolünü kullanır.
  6. V1 sunucusu, A makinesiyle veri etkileşimini senkronize eder ve V1 sunucusu, A makinesi ile V2 sunucusu arasında bir veri aktarımı görevi görür.

Araştırmacılar, üç sunucu arasındaki yukarıdaki iletişim teknolojisine atıfta bulunarak, arka kapının “güçlü teknik yeteneklere sahip bir organizasyon” yaratılması olduğunu değerlendiriyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.