Kötü Amaçlı Paketleyici PHP Paketleri

Çevir:

Siber güvenlik analistleri, Packagist'te meşru Laravel yardımcı kütüphanelerini taklit eden ve gizlice platformlar arası Uzaktan Erişim Truva Atı (RAT) yayan kötü amaçlı PHP paketleri tespit etti. Bu kötü amaçlı yazılım, Windows, macOS ve Linux ortamlarında sorunsuz bir şekilde çalışarak etkilenen sistemler için önemli risk oluşturuyor.

Belirlenen paketler şunlardır:

nhattuanbl/lara-helper (37 indirme)
nhattuanbl/simple-queue (29 indirme)
nhattuanbl/lara-swagger (49 indirme)

nhattuanbl/lara-swagger doğrudan kötü amaçlı kod içermese de, nhattuanbl/lara-helper'ı Composer bağımlılığı olarak listeliyor ve bu da gömülü RAT'ın kurulumuna yol açıyor. Kamuoyuna açıklanmasına rağmen, bu paketler depoda erişilebilir durumda kalıyor ve etkilenen tüm ortamlardan derhal kaldırılmalıdır.

İçindekiler

Gizleme Taktikleri Kötü Niyetleri Saklar

Ayrıntılı kod analizi, hem lara-helper hem de simple-queue'nun tespit edilmekten kaçınmak için tasarlanmış src/helper.php adlı bir dosya içerdiğini göstermektedir. Kötü amaçlı yazılım, kontrol akışı manipülasyonu, kodlanmış alan adları ve komut dizeleri, gizlenmiş dosya yolları ve rastgele değişken ve fonksiyon tanımlayıcıları dahil olmak üzere gelişmiş gizleme stratejileri kullanmaktadır.

Bu teknikler statik analizi önemli ölçüde zorlaştırır ve kötü amaçlı yazılımın geleneksel kod inceleme ve otomatik güvenlik tarama araçlarını atlatmasına yardımcı olur.

Komuta ve Kontrol Altyapısı, Sunucunun Tamamen Ele Geçirilmesini Sağlıyor

Çalıştırıldıktan sonra, RAT, helper.leuleu.net adresindeki 2096 numaralı port üzerinden bir komuta ve kontrol (C2) sunucusuna bağlantı kurar. Sistem keşif verilerini iletir ve daha fazla talimat bekleyerek kalıcı bir dinleme durumuna geçer. İletişim, PHP'nin stream_socket_client() fonksiyonu kullanılarak TCP üzerinden gerçekleşir.

Arka kapı, operatör tarafından verilen çok çeşitli komutları destekleyerek tam sistem kontrolü sağlar. Özellikleri şunlardır:

Ping yoluyla her 60 saniyede bir otomatik kalp atışı sinyali gönderilir.
Sistem profilleme verilerinin info aracılığıyla iletilmesi.
Kabuk komutlarının yürütülmesi (cmd).
PowerShell komut yürütme (powershell).
Arka planda komut yürütme (çalıştır).
imagegrabscreen() (ekran görüntüsü) kullanarak ekran yakalama.

Dosya sızdırma (indirme).

Tüm kullanıcılara okuma, yazma ve çalıştırma izinleri verilerek keyfi dosya yükleme (yükleme).

Bağlantı sonlandırma ve çıkış (durdurma).

Güvenilirliği en üst düzeye çıkarmak için, RAT, PHP disable_functions yapılandırmasını kontrol eder ve aşağıdaki yöntemlerden ilk kullanılabilir olanını seçer: popen, proc_open, exec, shell_exec, system veya passthru. Bu uyarlanabilir yaklaşım, yaygın PHP güvenlik önlemlerini atlamasına olanak tanır.

Sürekli Yeniden Bağlantı Mekanizması Riski Artırıyor

Belirlenen C2 sunucusu şu anda yanıt vermiyor olsa da, kötü amaçlı yazılım sürekli bir döngü halinde her 15 saniyede bir bağlantıları yeniden denemek üzere programlanmıştır. Bu kalıcılık mekanizması, saldırgan sunucu kullanılabilirliğini geri yüklese bile, tehlikeye atılmış sistemlerin açık kalmasını sağlar.

Lara-helper veya simple-queue'yu kurmuş olan herhangi bir Laravel uygulaması, aslında gömülü bir RAT ile çalışıyor demektir. Tehdit aktörü, tam uzaktan shell erişimi, rastgele dosyaları okuma ve değiştirme yeteneği ve enfekte olmuş her ana bilgisayar için sistem düzeyindeki ayrıntılara sürekli görünürlük elde eder.

Uygulama Bağlamı Etkiyi Artırır

Etkinleştirme, bir servis sağlayıcı aracılığıyla uygulama başlatılırken veya simple-queue durumunda sınıf otomatik yükleme yoluyla otomatik olarak gerçekleşir. Sonuç olarak, RAT, web uygulamasıyla aynı işlem içinde çalışır ve aynı dosya sistemi izinlerini ve ortam değişkenlerini devralır.

Bu yürütme bağlamı, saldırgana veritabanı kimlik bilgileri, API anahtarları ve .env dosyasının içeriği gibi hassas varlıklara erişim olanağı sağlar. Bu nedenle, güvenlik açığı sistem düzeyindeki kontrolün ötesine geçerek uygulama sırlarının ve altyapı erişiminin tamamen açığa çıkmasına yol açar.

Temiz Paketler Aracılığıyla Güvenilirlik Oluşturma Stratejisi

Daha detaylı inceleme, aynı yayıncının kötü amaçlı kod içermeyen ek paketler (nhattuanbl/lara-media, nhattuanbl/snooze ve nhattuanbl/syslog) yayınladığını ortaya koyuyor. Bunlar, güveni artırmak ve kötü amaçlı yazılım içeren paketlerin benimsenmesini teşvik etmek için tasarlanmış itibar oluşturma araçları gibi görünüyor.

Acil Önlem ve Müdahale Tedbirleri

Zararlı paketlerden herhangi birini kuran kuruluşlar, güvenlik ihlali yaşandığını varsaymalıdır. Gerekli müdahale eylemleri arasında etkilenen kütüphanelerin derhal kaldırılması, uygulama ortamından erişilebilen tüm kimlik bilgilerinin değiştirilmesi ve tanımlanan C2 altyapısına yapılan bağlantı girişimleri için giden ağ trafiğinin kapsamlı bir şekilde denetlenmesi yer almaktadır.

Kararlı bir şekilde yanıt verilmemesi, komuta ve kontrol altyapısı yeniden faaliyete geçtiğinde sistemlerin saldırganların tekrar erişimine karşı savunmasız kalmasına yol açabilir.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

Kötü Amaçlı Paketleyici PHP Paketleri

Gizleme Taktikleri Kötü Niyetleri Saklar

Komuta ve Kontrol Altyapısı, Sunucunun Tamamen Ele Geçirilmesini Sağlıyor

Sürekli Yeniden Bağlantı Mekanizması Riski Artırıyor

Uygulama Bağlamı Etkiyi Artırır

Temiz Paketler Aracılığıyla Güvenilirlik Oluşturma Stratejisi

Acil Önlem ve Müdahale Tedbirleri

Yorum Gönder

trend

Dohdoor Arka Kapısı

Getfastbrowser.download

KIMCHI Airdrop Dolandırıcılığı

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Nasıl Düzeltilir 'macOS bu uygulamanın kötü amaçlı...

Discord Ekranı Paylaşırken Siyah Ekran Görüyor