மல்டி-லைசென்ஸ் தள்ளுபடி மேற்கோள்
அச்சுறுத்தல் தரவுத்தளம் ரூட்கிட்கள் லிங்க்ப்ரோ லினக்ஸ் ரூட்கிட்

லிங்க்ப்ரோ லினக்ஸ் ரூட்கிட்

ரூட்கிட்கள், பின்கதவுகள் இல் Mezo இல்
இதற்கு மொழிபெயர்க்கவும்:

அமேசான் வலை சேவைகள் (AWS) சூழலின் சமீபத்திய சமரசம், முன்னர் ஆவணப்படுத்தப்படாத GNU/Linux ரூட்கிட்டை வெளிப்படுத்தியது, இது LinkPro என கண்காணிக்கப்பட்டது. இந்த பின்புற கதவு eBPF தொகுதிகளின் இரட்டை பயன்பாட்டிற்கு குறிப்பிடத்தக்கது: கலைப்பொருட்களை மறைப்பதற்கான ஒரு தொகுப்பு, மற்றும் ஒரு திருட்டுத்தனமான தூண்டுதலாக செயல்படும் மற்றொன்று - சிறப்பாக வடிவமைக்கப்பட்ட TCP பாக்கெட் காணப்பட்ட பின்னரே தொலை கட்டளை செயல்பாட்டை எழுப்பும் ஒரு 'நாக்'. தாக்குதல் சங்கிலி மற்றும் ரூட்கிட்டின் வழிமுறைகள் கண்டறிதல் மற்றும் தடயவியல் தொடர்புகளை விரக்தியடையச் செய்ய கொள்கலன் துஷ்பிரயோகம், கர்னல்-நிலை மறைத்தல் மற்றும் நெகிழ்வான நெட்வொர்க் செயல்படுத்தல் ஆகியவற்றைக் கலக்கும் ஒரு அதிநவீன ஆபரேட்டரை விளக்குகின்றன.

தொற்று திசையன் மற்றும் ஆரம்ப வரிசைப்படுத்தல்

CVE‑2024‑23897 (CVSS 9.8) க்கு பாதிக்கப்படக்கூடிய ஒரு அம்பலப்படுத்தப்பட்ட ஜென்கின்ஸ் நிகழ்வை சுரண்டுவதன் மூலம் ஊடுருவல் தொடங்கியது. அந்த இடத்தில் இருந்து, தாக்குபவர்கள் ஒரு தீங்கிழைக்கும் டாக்கர் படத்தை (kvlnt/vv, டாக்கர் ஹப்பில் இருந்து அகற்றப்பட்டதிலிருந்து) பல குபெர்னெட்ஸ் கிளஸ்டர்களில் தள்ளினர். படம் ஒரு காளி லினக்ஸ் தளத்தைப் பயன்படுத்தியது மற்றும் நிலைத்தன்மை, தொலைநிலை அணுகல் மற்றும் படிப்படியாக பின்புற பதிவிறக்கத்தை நிறுவ வடிவமைக்கப்பட்ட ஒரு சிறிய பயன்பாட்டு கோப்புறையைக் கொண்டிருந்தது.

தீங்கிழைக்கும் டாக்கர் படத்தின் உள்ளே

படத்தின் பயன்பாட்டுக் கோப்புறையில் தனித்துவமான பாத்திரங்களைக் கொண்ட மூன்று முக்கிய கோப்புகள் இருந்தன:

start.sh — ஒரு SSH சேவையைத் தொடங்கி மற்ற இரண்டு கூறுகளை இயக்கும் ஷெல் ஸ்கிரிப்ட்.

இணைப்பு — ஒரு VPN/ப்ராக்ஸி கிளையண்டாகச் செயல்பட தொகுக்கப்பட்ட/தொகுக்கப்பட்ட ஒரு திறந்த மூல நிரல் (vnt), vnt.wherewego[.]top:29872 உடன் வெளிச்செல்லும் இணைப்பைக் கொண்டுள்ளது. இது தாக்குபவர் எங்கிருந்தும் சமரசம் செய்யப்பட்ட ஹோஸ்டை அடையவும் அதன் மூலம் பிற இலக்குகளுக்குச் செல்லவும் அனுமதிக்கிறது.

பயன்பாடு — ஒரு S3 வாளியிலிருந்து மறைகுறியாக்கப்பட்ட vShell பேலோடைப் பெறும் ரஸ்ட்-அடிப்படையிலான பதிவிறக்கி (vGet என குறிப்பிடப்படுகிறது), பின்னர் 56.155.98 இல் அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் WebSocket இணைப்பை நிறுவுகிறது[.]37.

குபெர்னெட்ஸ் முனைகளுக்கு கூடுதல் பேலோடுகள் வழங்கப்பட்டன.

தீங்கிழைக்கும் படத்துடன், ஆபரேட்டர்கள் இரண்டு பிற கூறுகளையும் முனைகளில் இறக்கிவிட்டனர்: மற்றொரு vShell பின்புறத்தை நிறுவும் ஒரு டிராப்பர் மற்றும் கோலாங்-எழுதப்பட்ட ரூட்கிட்டான LinkPro. LinkPro இரண்டு முறைகளில் ஒன்றில் இயங்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது - செயலற்ற (தலைகீழ்) அல்லது செயலில் (முன்னோக்கி) - அதன் உள்ளமைவைப் பொறுத்து. செயலற்ற பயன்முறையில், இது ஒரு சிறப்பு நெட்வொர்க் பாக்கெட்டால் செயல்படுத்தப்படுவதற்கு காத்திருக்கிறது; செயலில் உள்ள பயன்முறையில், இது C2 உடன் தொடர்பைத் தொடங்குகிறது. முன்னோக்கி பயன்முறை ஐந்து போக்குவரத்து நெறிமுறைகளை (HTTP, WebSocket, UDP, TCP, DNS) ஆதரிக்கிறது, அதேசமயம் தலைகீழ் பயன்முறை HTTP க்கு தகவல்தொடர்புகளை கட்டுப்படுத்துகிறது.

LinkPro எவ்வாறு தொடர்கிறது

தீம்பொருளின் ஒட்டுமொத்த செயல்படுத்தல் மற்றும் நிலைத்தன்மை நடத்தை ஒரு தெளிவான வரிசையைப் பின்பற்றுகிறது:

  • Hide eBPF தொகுதியை நிறுவவும். இந்த தொகுதியில் LinkPro இன் செயல்முறைகள் மற்றும் நெட்வொர்க் செயல்பாட்டை மறைக்கப் பயன்படுத்தப்படும் Tracepoint மற்றும் Kretprobe eBPF நிரல்கள் உள்ளன.
  • Hide eBPF தொகுதியை நிறுவுவது தோல்வியடைந்தால் - அல்லது அது முடக்கப்பட்டிருந்தால் - /etc/libld.so இல் ஒரு பகிரப்பட்ட நூலகத்தை நிறுவி, அந்த பாதையை /etc/ld.so.preload இல் ஒரு ஃபால்பேக் மறைக்கும் பொறிமுறையாகச் சேர்க்கவும்.
  • தலைகீழ் (செயலற்ற) செயல்பாட்டிற்கு, Knock eBPF தொகுதியை நிறுவவும். Knock ஒரு XDP நிரலையும் ஒரு TC நிரலையும் கொண்டுள்ளது, எனவே C2 சேனல் ஒரு குறிப்பிட்ட 'மேஜிக் பாக்கெட்டை' பெற்ற பின்னரே செயலில் இருக்கும்.
  • ஒரு systemd சேவையை உருவாக்குவதன் மூலம் நிலைத்தன்மையை நிலைநாட்டவும்.
  • C2 இலிருந்து பெறப்பட்ட கட்டளைகளை இயக்கவும்.
  • பணிநிறுத்தம் செய்யும்போது அல்லது சமிக்ஞை செய்யப்படும்போது (SIGHUP, SIGINT, SIGTERM), eBPF தொகுதிகளை நிறுவல் நீக்கி, /etc/libld.so முன் ஏற்ற மாற்றத்தை அகற்றவும்/மீட்டெடுக்கவும், இதனால் கணினி அதன் முந்தைய நிலைக்குத் திரும்பும்.

மேஜிக் பாக்கெட் மற்றும் நாக் ஆக்டிவேஷன் மெக்கானிசம்

LinkPro-வின் செயலற்ற செயல்படுத்தல் ஒரு துல்லியமான TCP பாக்கெட்டைப் பொறுத்தது: 54321 சாளர அளவைக் கொண்ட எந்த TCP பாக்கெட்டும் 'மேஜிக் பாக்கெட்' ஆகக் கருதப்படுகிறது. Knock அந்த பாக்கெட்டைக் கண்டறிந்ததும், அது மூல IP-யைச் சேமித்து ஒரு மணிநேர காலாவதியுடன் அதைக் குறியிடுகிறது. அந்த மூலத்திலிருந்து வரும் அடுத்தடுத்த TCP பாக்கெட்டுகள் கண்காணிக்கப்பட்டு, பொருத்தமான நேரத்தில், Knock தலைப்புகளை மீண்டும் எழுதுகிறது, இதனால் ஆபரேட்டரின் போக்குவரத்து LinkPro-வின் கேட்கும் போர்ட்டுக்கு (2333) திருப்பி விடப்படும். வெளிச்செல்லும் பாக்கெட்டுகள் அசல் போர்ட்டை மீண்டும் நெட்வொர்க்கிற்கு வழங்க சரிசெய்யப்படுகின்றன (மூல போர்ட் 2233 என மீண்டும் எழுதப்பட்டது). நோக்கம் நேரடியானது ஆனால் பயனுள்ளது: முன்-இறுதி ஃபயர்வால் அனுமதிக்கும் எந்த போர்ட்டின் வழியாகவும் LinkPro-வை தாக்குபவர் அடைய அனுமதிக்கவும், அதே நேரத்தில் வெளிப்புற ஃபயர்வால் பதிவுகளை ஹோஸ்டின் உள் நெட்வொர்க் செயல்பாட்டுடன் தொடர்புபடுத்துவது கடினம்.

LinkPro தன்னை எப்படி மறைத்துக் கொள்கிறது

LinkPro இரண்டு அடுக்கு மறைத்தல் உத்தியைப் பயன்படுத்துகிறது:

கர்னல்/eBPF மறைத்தல் : மறை eBPF தொகுதி, ட்ரேஸ்பாயிண்ட் மற்றும் க்ரெட்ப்ரோப் நிரல்களை நிறுவுகிறது, அவை getdents (கோப்புகள்/கோப்பகங்களை மறைக்க) மற்றும் sys_bpf (அதன் சொந்த BPF நிரல்களை மறைக்க) போன்ற கணினி அழைப்புகளை இடைமறிக்கின்றன. இந்த அணுகுமுறைக்கு CONFIG_BPF_KPROBE_OVERRIDE இயக்கப்பட்ட ஒரு கர்னல் தேவைப்படுகிறது.

பயனர்-இட LD_PRELOAD ஃபால்பேக் : கர்னல் திறன் இல்லாவிட்டால், LinkPro ஒரு பகிரப்பட்ட நூலகத்தை (libld.so) எழுதி அதன் பாதையை /etc/ld.so.preload இல் வைக்கிறது. ஏனெனில் /etc/ld.so.preload குறிப்பிட்ட நூலகத்தை ஒவ்வொரு மாறும் இணைக்கப்பட்ட செயல்முறையிலும் (/lib/ld-linux.so மற்றும் glibc ஐப் பயன்படுத்துபவர்கள்) ஏற்றுகிறது, பொருத்தப்பட்ட libld.so libc செயல்பாடுகளை முன்கூட்டியே (glibc இன் சொந்த நடத்தைக்கு முன்) இணைத்து, libc அழைப்புகளிலிருந்து வரும் வருமானத்தை மாற்றுகிறது, இல்லையெனில் அதன் இருப்பை வெளிப்படுத்தும் கலைப்பொருட்களை மறைக்கிறது.

ரூட்கிட் திறன்கள் மற்றும் கட்டளை தொகுப்பு

LinkPro ஊடாடும் மற்றும் தானியங்கி தொலைநிலை செயல்களை ஆதரிக்கிறது. அதன் செயல்படுத்தப்பட்ட அம்சங்கள் பின்வருமாறு:

  • /bin/bash போலி-முனையத்தைத் தொடங்கி ஊடாடும் ஷெல் அமர்வுகளை இயக்குதல்.
  • தன்னிச்சையான ஷெல் கட்டளைகளை செயல்படுத்துதல்.
  • கோப்புகள் மற்றும் கோப்பகங்களைக் கணக்கிடுதல் மற்றும் கோப்பு செயல்பாடுகளைச் செய்தல்.
  • கோப்புகளை வட்டில் பதிவிறக்கம் செய்து எழுதுதல்.
  • பிவோட்டிங் மற்றும் நிலத்திற்கு வெளியே ப்ராக்ஸிங் செய்வதற்கு SOCKS5 ப்ராக்ஸி சுரங்கப்பாதையை நிறுவுதல்.

நெட்வொர்க் நெறிமுறை ஆதரவு மற்றும் C2 நடத்தை

செயலில் (முன்னோக்கி) பயன்முறையில் LinkPro நெகிழ்வானது: இது HTTP, WebSocket, UDP, TCP அல்லது DNS போக்குவரத்துகளைப் பயன்படுத்தி தொடர்பு கொள்ள முடியும். செயலற்ற (தலைகீழ்) பயன்முறையில் அதன் தொடர்பு HTTP க்கு மட்டுப்படுத்தப்பட்டுள்ளது, ஆனால் அது திருட்டுத்தனத்திலிருந்து பயனடைகிறது, ஏனெனில் Knock மேஜிக் பாக்கெட் தற்காலிகமாக ஒரு மணி நேர கட்டளை சாளரத்தைத் திறந்த பின்னரே அது கேட்கிறது.

நடத்தையை சுத்தம் செய்தல் மற்றும் நிறுவல் நீக்குதல்

செயல்முறை முடிவு சமிக்ஞைகளைப் பெற்றால், LinkPro தடயங்களை அகற்றுவதை நோக்கமாகக் கொண்டுள்ளது: இது நிறுவப்பட்ட eBPF தொகுதிகளை நிறுவல் நீக்கி /etc/libld ஐ நீக்குகிறது அல்லது மீட்டமைக்கிறது, அதை அதன் முந்தைய நிலைக்கு தொகுக்கிறது, இதனால் அமைப்பு மாறாமல் தோன்றும். இந்த வேண்டுமென்றே சுத்தம் செய்யும் வழக்கம், ஏய்ப்பு மற்றும் நீண்டகால தடயங்களைக் குறைப்பதில் அக்கறை கொண்ட ஒரு ஆபரேட்டரைக் குறிக்கிறது.

செயல்பாட்டு சூழல் மற்றும் பண்புக்கூறு

இந்த பிரச்சாரம் அதிக தீவிரத்தன்மை கொண்ட ஜென்கின்ஸ் சுரண்டல், தீங்கிழைக்கும் கொள்கலன் படங்கள், பல பின்புற வகைகள் மற்றும் கர்னல்-நிலை திருட்டுத்தனத்தைப் பயன்படுத்தியது - இது ஒரு உந்துதல் பெற்ற, திறமையான ஆபரேட்டரை சுட்டிக்காட்டும் கலவையாகும். எந்தவொரு உறுதியான பண்புக்கூறும் பகிரங்கப்படுத்தப்படவில்லை; இருப்பினும், கருவித்தொகுப்பு மற்றும் ப்ராக்ஸியிங் மற்றும் தொடர்ச்சியான தொலைநிலை அணுகலுக்கான சமரசத்தின் வெளிப்படையான பயன்பாடு ஆகியவை நிதி ரீதியாக உந்துதல் பெற்ற செயல்பாட்டை (முன்னிலைப்படுத்துதல், கூடுதல் ஊடுருவல்களுக்கு ப்ராக்ஸியிங் அல்லது அணுகலை மறுவிற்பனை செய்தல்) வலுவாக பரிந்துரைக்கின்றன.

கர்னல் சார்பு மற்றும் பின்னோக்கிய நடத்தை

LinkPro அதன் திருட்டுத்தனமான கர்னல் இடைமறிப்புக்கு BPF kprobe ஓவர்ரைடு அம்சங்களை நம்பியிருப்பதால், ஹோஸ்ட் கர்னல் CONFIG_BPF_KPROBE_OVERRIDE ஐ வெளிப்படுத்தும்போது மட்டுமே இது கர்னல்-நிலை மறைக்கும் நுட்பத்தைப் பயன்படுத்துகிறது. அந்த கர்னல் திறன் இல்லாத இடத்தில், LinkPro வேண்டுமென்றே பயனர் இடத்தில் தன்னை மறைத்துக் கொள்ள LD_PRELOAD பகிரப்பட்ட-நூலக முறைக்குத் திரும்பி, பரந்த அளவிலான சூழல்களில் மறைப்பை உறுதி செய்கிறது.

இறுதிக் குறிப்பு

நவீன ஊடுருவல்கள் எவ்வாறு கண்டெய்னர் சமரசம், நிலைப்படுத்தப்பட்ட ஏற்றிகள், கர்னல் கருவிகள் (eBPF) மற்றும் புத்திசாலித்தனமான நெட்வொர்க் தந்திரங்களை (மேஜிக்-பாக்கெட் செயல்படுத்தல் மற்றும் போர்ட்-ரீரைட்டிங்) இணைத்து திருட்டுத்தனம் மற்றும் நெகிழ்வுத்தன்மையை பராமரிக்க முடியும் என்பதை LinkPro நிரூபிக்கிறது. கண்டறிதல் மற்றும் சரிசெய்தல் அங்கீகரிக்கப்படாத eBPF நிரல்கள், /etc/ld.so.preload இல் எதிர்பாராத உள்ளீடுகள், அசாதாரண systemd சேவைகள் மற்றும் சுட்டிக்காட்டப்பட்ட உள்கட்டமைப்பிற்கான நெட்வொர்க் இணைப்புகளை கவனமாக ஆய்வு செய்ய வேண்டும் (தடயவியல் குறிகாட்டிகளில் IP 56.155.98[.]37, போர்ட்கள் 29872, 2333, 2233 மற்றும் அகற்றப்பட்ட டாக்கர் படப் பெயர் kvlnt/vv ஆகியவை அடங்கும்).

டிரெண்டிங்

Pyroscouriell.co.in

முரட்டு வலைத்தளங்கள், ஆட்வேர், உலாவி கடத்தல்காரர்கள்
சைபர் குற்றவாளிகள் பயனர்களை ஏமாற்றி தங்கள் அமைப்புகள் மற்றும் தனியுரிமையை சமரசம் செய்ய தொடர்ந்து புதிய வழிகளை உருவாக்கி வருகின்றனர். அத்தகைய அச்சுறுத்தல்களில் ஒன்று Pyroscouriell.co.in ஆகும், இது...

Picprosto.click

முரட்டு வலைத்தளங்கள், உலாவி கடத்தல்காரர்கள்
Picprosto.click என்பது மற்றொரு சந்தேகத்திற்குரிய பக்கமாகும், இது முறையான புஷ் அறிவிப்புகள் உலாவி அம்சத்தைப் பயன்படுத்திக் கொள்ள முயற்சிக்கிறது. தளமானது அதன் உண்மையான நோக்கங்களை மறைப்பதற்காக...

Conatysystems.com

முரட்டு வலைத்தளங்கள், உலாவி கடத்தல்காரர்கள்
Conatysystems.com அதன் பார்வையாளர்களை ஏமாற்றுவதற்காக தவறான மற்றும் ஏமாற்றும் செய்திகளைப் பயன்படுத்தும் மற்றொரு முரட்டு வலைத்தளத்தை விட சற்று அதிகமாகத் தோன்றுகிறது. தொலைதூர பயனுள்ள உள்ளடக்கம்...

அதிகம் பார்க்கப்பட்டது

தீம்பொருள்

ஃபிஷிங், ஸ்பேம்
33,678
'Apple Pay Suspended' என்ற மோசடி செய்தியானது Apple Payயின் பயனர்களை குறிவைக்கும் ஒரு வகையான ஃபிஷிங் தந்திரமாகும். பயனரின் Apple Pay வாலட் இடைநிறுத்தப்பட்டுள்ளதாகவும், அதை மீட்டெடுக்க இணைப்பைக் கிளிக் செய்யும்படி அவர்களை வலியுறுத்துவதாகவும் அந்தச் செய்தி கூறுகிறது. இருப்பினும், இணைப்பைக் கிளிக் செய்வதன் மூலம், பயனரின் தனிப்பட்ட மற்றும் நிதித் தகவல்களைத் திருட வடிவமைக்கப்பட்ட போலி...
'கீக் ஸ்குவாட்' மின்னஞ்சல் மோசடி ஸ்கிரீன்ஷாட்

'கீக் ஸ்குவாட்' மின்னஞ்சல் மோசடி

ஃபிஷிங், ஸ்பேம்
30,614
பிரபல தொழில்நுட்ப ஆதரவு வழங்குநரான Geek Squad, Geek Squad Email Scam எனப்படும் ஃபிஷிங் மோசடிக்கு பலியாகியுள்ளது. இந்த தொழில்நுட்ப ஆதரவு மோசடியானது, கிரெடிட் கார்டு விவரங்கள், மின்னஞ்சல் முகவரிகள்...

Fuq.com

முரட்டு ஸ்பைவேர் எதிர்ப்பு திட்டம், மேக் மால்வேர்
23,202
Fuq.com என்பது ஒரு ஆட்வேர் வகை நிரலாகும், இது ஆபாச உள்ளடக்கத்துடன் கூடிய இணையதளங்களை விளம்பரப்படுத்துகிறது. இந்த சாத்தியமுள்ள தேவையற்ற திட்டத்தின் (PUP) விளம்பரப் பிரச்சாரங்கள் மிகவும் தீவிரமானவை....
ஏற்றுகிறது...