Time to start a new chapter!
We are delighted to announce our merger with our global operations’ brand, DNSSense, starting from April 10, 2023.
You can find all the information about Roksit at our new address, dnsssense.com
Welcome to the world of DNSSense!
.svg)
B1txor20
Linux sistemlerini hedef alan ve makinelerin bir botnet'e bağlanarak rootkit'lerin indirilip kurulmasını sağlayan yeni bir arka kapı keşfedildi. Kötü amaçlı yazılım, b1t dosya adı, XOR şifreleme algoritması ve RC4 algoritmasında 20 baytlık bir anahtar uzunluğu kullanarak yayıldığı için B1txor20 olarak adlandırıldı. Kötü amaçlı bu yazılımın 'Log4j' güvenlik açığı üzerinden yayıldığı ilk kez 9 Şubat 2022'de tespit edildi. DNS sorguları ve yanıtlarındaki verileri kodlayarak komuta ve kontrol (CC) sunucularıyla iletişim kanalları kurmak için DNS tünelleme olarak bilinen bir teknik kullanıyordu.
Kötü amaçlı yazılım, Apache Software Foundation geliştiricileri tarafından tespit edildi ve geliştiriciler Apache Logging Project'in bir parçası olan popüler Log4j loglama kütüphanesindeki sıfır gün açığını (CVE-2021-44228) düzeltmek için acil bir güvenlik güncellemesi yayınladılar.. Ayrıca bu yazılımın 2021 Aralık ayı ortasında keşfedilen 'Log4Shell' güvenlik açığından da aktif olarak yararlandığı da anlaşıldı.
'B1txor20' yazılımının bazı eksiklikleri olsa da hâlâ ciddi bir tehdit olarak görülmelidir. Çünkü yazılım hâlen bir shell elde etme, keyfi komutlar yürütme, bir rootkit yükleme, bir SOCKS5 proxy açma ve hassas bilgileri C2 sunucusuna geri yükleme gibi pek çok işlevleri desteklemektedir. Kötü amaçlı yazılım bir makineyi başarılı bir şekilde ele geçirdiğinde, sunucu tarafından gönderilen komutları almak ve yürütmek için DNS tünelini kullanır. Çalınan hassas bilgileri, komut yürütme sonuçlarını ve diğer bilgileri belirli kodlama teknikleriyle gizledikten sonra bot, C2'ye bir DNS isteği gönderir. DNS isteğine yanıt olarak, C2 yükü Bot tarafına gönderir. Bot ve C2 bu şekilde DNS protokolünü kullanarak iletişim kurar.
Çözüm:
'DNSEye’ çözümünü mevcut EDR çözümlerine entegre etmeyi seçen kullanıcılar, bu şüpheli alanlara sorgu gönderen belirli uygulamaları tespit edebilirler. Başka bir deyişle, 'Log4J' güvenlik açığının bir sonucu olarak etkilenen dosyalar, yürütülebilir dosyalar ve uygulamalar doğrudan tanımlanabilir.
Sık Sorulan Sorular
