Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Yeni kötü amaçlı yazılımlar e-ticaret sunucularında yasal nginx işlemi olarak gizleniyor

Yeni kötü amaçlı yazılımlar e-ticaret sunucularında yasal nginx işlemi olarak gizleniyor

e-Ticaret sunucuları, Nginx sunucularında güvenlik çözümleri tarafından neredeyse görünmez hale getirilir şekilde gizlenen uzaktan erişim kötü amaçlı yazılımlarıyla hedeflenmektedir.

Tehdit, hedeflediği uygulamanın ve sağladığı uzaktan erişim yeteneklerinin bir kombinasyonu olan NginRAT adını aldı ve çevrimiçi mağazalardan ödeme kartı verilerini çalmak için sunucu tarafı saldırılarında kullanılıyor.

NginRAT, Kuzey Amerika ve Avrupa’da virüs bulaşmış e-ticaret sunucularında bulundu CronRAT, takvimin geçersiz bir gününde yürütülmesi planlanan görevlerdeki yükleri gizleyen bir uzaktan erişim truva atı (RAT).

NginRAT, ABD, Almanya ve Fransa’daki sunuculara virüs bulaştırdı ve burada nginx süreçlerine enjekte ederek meşru olanlardan ayırt edilemedi ve fark edilmeden kalmasına izin verdi.

RAT’lar sunucu tarafı kod değişikliğini etkinleştirir

Güvenlik şirketi Sansec’teki araştırmacılar, her ikisi de aynı işlevi yerine getirse de, yeni kötü amaçlı yazılımın CronRAT olarak teslim edildiğini açıklıyor: güvenliği ihlal edilen sisteme uzaktan erişim sağlamak.

Sansec tehdit araştırmaları direktörü Willem de Groot, BleepingComputer’a verdiği demeçte, gizliliklerini korumak için çok farklı teknikler kullanırken, iki RAT’ın uzaktan erişimi korumak için bir yedek görevi görerek aynı role sahip göründüğünü söyledi.

Bu kötü amaçlı yazılım türlerinin arkasında kim varsa, kullanıcılar tarafından gönderilen verileri kaydetmelerine izin veren sunucu tarafı kodunu değiştirmek için kullanıyor (POST istekleri).

Sansec, özel bir CronRAT oluşturduktan ve Çin’de bulunan komuta kontrol sunucusu (C2) ile borsaları gözlemledikten sonra NginRAT’ı incelemeyi başardı.

Araştırmacılar, C2’yi normal kötü amaçlı etkileşimin bir parçası olarak, NginRAT’ın “daha gelişmiş kötü amaçlı yazılım parçasını” gizleyerek, sahte bir paylaşılan kütüphane yükü göndermesi ve yürütmesi için kandırdı.

“NginRAT, tespit edilmemek için ev sahibi bir Nginx başvurusunu ele geçiriyor. Bunu yapmak için NginRAT, Linux ana bilgisayar sisteminin temel işlevselliğini değiştirir. Meşru Nginx web sunucusu bu işlevselliği kullandığında (örneğin dlopen), NginRAT kendini enjekte etmek için onu yakalar” – Sansec

Sürecin sonunda, Nginx işlemi uzaktan erişim kötü amaçlı yazılımını meşru bir işlemden ayırt etmeyi neredeyse imkansız hale getiren bir şekilde gömmektedir.

NginRAT meşru bir Nginx sürecinden ayırt edilemez

Sansec bugün yayınladığı teknik bir raporda, NginRAT’ın kötü amaçlı Linux sistem kütüphanesini “/dev/shm/php-shared” konumuna indiren özel “dwn” komutu aracılığıyla CronRAT’ın yardımıyla güvenliği ihlal edilmiş bir sisteme indiğini açıklıyor.

Kitaplık daha sonra Linux’ta genellikle sistem kitaplıklarını test etmek için kullanılan LD_PRELOAD hata ayıklama özelliği kullanılarak başlatılır.

Yürütmeyi maskeleme olasılığı yüksek olan tehdit aktörü, sonunda birden çok kez “yardım” seçeneğini de ekledi. Komutu yürütmek, NginRAT’ı ana bilgisayar Nginx uygulamasına ekler.

Nginx sürecine NginRAT enjekte

NginRAT normal bir Nginx işlemi olarak gizlendiği ve kodun yalnızca sunucunun belleğinde mevcut olduğu için, bunu algılamak zor olabilir.

Ancak, kötü amaçlı yazılım LD_PRELOAD ve LD_L1BRARY_PATH olmak üzere iki değişken kullanılarak başlatılır. Yöneticiler, aşağıdaki komutu çalıştırarak etkin kötü amaçlı işlemleri ortaya çıkarmak için “yazım hatasını” içeren ikincisini kullanabilir:

$ sudo grep -l LD_L1BRARY_PATH /proc/*/environ

/proc/17199/environ

/proc/25074/environ

Sansec, NginRAT sunucuda bulunursa, yöneticilerin cron görevlerini de kontrol etmesi gerektiğini, çünkü kötü amaçlı yazılımın cronRAT tarafından eklenen orada da saklanmasının çok muhtemel olduğunu belirtiyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.