Siber güvenlik araştırmacıları, Linux sistemlerine yönelik tehditlerin evriminde korkutucu bir adım daha keşfetti. Cyble Research & Intelligence Labs (CRIL) tarafından analiz edilen ve ShadowHS adı verilen yeni bir çerçeve, geleneksel dosya tabanlı algılama mekanizmalarını tamamen devre dışı bırakıyor. Çünkü bu zararlı yazılım, sabit diske tek bir byte bile yazmadan, tamamen sistemin belleğinde (RAM) yaşıyor.
Bu özellik, saldırganların ele geçirdikleri sistemlerde uzun süre fark edilmeden kalmalarına ve kalıcı erişim sağlamalarına olanak tanıyor.
Disk üzerine kayıt yapmadan çalışan karmaşık bir mimari kullanıyor
ShadowHS, “hackshell” aracının silahlandırılmış bir varyantı olarak tanımlanıyor. Çalışma mantığı ise oldukça sofistike. Çok aşamalı bir şifreli yükleyici kullanan yazılım, yükünü AES-256 şifrelemesi ve özel sıkıştırma yöntemleriyle belleğe açıyor. Daha sonra, disk üzerinde herhangi bir ikili dosya (binary) oluşturmadan, doğrudan anonim dosya tanımlayıcıları üzerinden çalışıyor.
Sistem yöneticilerini kandırmak için süreç ismini (argv) taklit eden ShadowHS, dışarıdan bakıldığında masum bir işlem gibi görünüyor.
Otomatik bir virüs değil bizzat saldırganlar tarafından yönetilen bir casus
CRIL raporuna göre ShadowHS, rastgele yayılan otomatik bir virüs değil. Aksine, saldırganın doğrudan kontrol ettiği, uzun vadeli sızmalar için tasarlanmış bir platform. Yazılım çalıştırıldığında hemen saldırıya geçmiyor; önce “keşif” yapıyor.
Sistemi tarayarak CrowdStrike, Microsoft Defender veya Sophos gibi güvenlik yazılımlarının olup olmadığını kontrol ediyor. Eğer ortam güvenliyse, daha yüksek riskli operasyonları devreye sokuyor.
Güvenlik duvarlarını aşan özel tünelleme yöntemi ve uyuyan modüller
ShadowHS’nin en tehlikeli özelliklerinden biri de veri kaçırma yöntemi. Standart ağ kanallarını kullanmak yerine, GSocket üzerinden kullanıcı alanı tünellemesi (user-space tunneling) uyguluyor. Bu sayede, sıkı güvenlik duvarlarını aşarak verileri gizlice dışarı aktarabiliyor.
Çerçeve ayrıca, operatörlerin ihtiyaç duyduğunda etkinleştirebileceği “uyuyan” modüllere sahip:
- Kimlik bilgileri hırsızlığı için bellek dökümü alma.
- SSH üzerinden ağdaki diğer cihazlara sıçrama.
- XMRig gibi araçlarla kripto para madenciliği yapma.
Rakip kötü amaçlı yazılımları temizliyor ve tespit edilmesi çok zor
İlginç bir şekilde ShadowHS, ele geçirdiği sunucuyu paylaşmayı sevmiyor. Rondo ve Kinsing gibi rakip kötü amaçlı yazılım ailelerini tespit edip sonlandıran bir “anti-rekabet” mantığına sahip.
Uzmanlar, geleneksel imza tabanlı antivirüs çözümlerinin ShadowHS gibi bellek tabanlı tehditlere karşı yetersiz olduğu konusunda uyarıyor. Bu tür saldırıları yakalamak için dosya tanımlayıcılarından yürütme ve anormal veri transferleri gibi davranışsal analizlerin yapılması gerekiyor.
