Zararlı Trafiği Anında Tespit Edin ve Detaylı Raporlar Alın!
DNSEye VM uygulamasını indirin  ve yükleyin
İletişime Geçin
Kurumunuzu ve Çalışanlarınızı Zararlı İçeriklerden Yapay Zekanın Yardımıyla Koruyun!
14 gün ücretsiz deneyin
Ücretsiz Deneyin
Dünyanın En Gelişmiş Dinamik Siber Tehdit İstihbaratıyla Tanışın!
Analiz etmeye hemen başlayın
Ücretsiz Analiz Alın

B1txor20

B1txor20

Linux sistemlerini hedef alan ve makinelerin bir botnet'e bağlanarak rootkit'lerin indirilip kurulmasını sağlayan yeni bir arka kapı keşfedildi. Kötü amaçlı yazılım, b1t dosya adı, XOR şifreleme algoritması ve RC4 algoritmasında 20 baytlık bir anahtar uzunluğu kullanarak yayıldığı için B1txor20 olarak adlandırıldı. Kötü amaçlı bu yazılımın 'Log4j' güvenlik açığı üzerinden yayıldığı ilk kez 9 Şubat 2022'de tespit edildi. DNS sorguları ve yanıtlarındaki verileri kodlayarak komuta ve kontrol (CC) sunucularıyla iletişim kanalları kurmak için DNS tünelleme olarak bilinen bir teknik kullanıyordu.

Kötü amaçlı yazılım, Apache Software Foundation geliştiricileri tarafından tespit edildi ve geliştiriciler Apache Logging Project'in bir parçası olan popüler Log4j loglama kütüphanesindeki sıfır gün açığını (CVE-2021-44228) düzeltmek için acil bir güvenlik güncellemesi yayınladılar.. Ayrıca bu yazılımın 2021 Aralık ayı ortasında keşfedilen 'Log4Shell' güvenlik açığından da aktif olarak yararlandığı da anlaşıldı.

'B1txor20' yazılımının bazı eksiklikleri olsa da  hâlâ ciddi bir tehdit olarak görülmelidir. Çünkü yazılım hâlen bir shell elde etme, keyfi komutlar yürütme, bir rootkit yükleme, bir SOCKS5 proxy açma ve hassas bilgileri C2 sunucusuna geri yükleme gibi pek çok işlevleri desteklemektedir. Kötü amaçlı yazılım bir makineyi başarılı bir şekilde ele geçirdiğinde, sunucu tarafından gönderilen komutları almak ve yürütmek için DNS tünelini kullanır. Çalınan hassas bilgileri, komut yürütme sonuçlarını ve diğer bilgileri belirli kodlama teknikleriyle gizledikten sonra bot, C2'ye bir DNS isteği gönderir. DNS isteğine yanıt olarak, C2 yükü Bot tarafına gönderir. Bot ve C2 bu şekilde DNS protokolünü kullanarak iletişim kurar.

Çözüm:


'DNSEye’ çözümünü mevcut EDR çözümlerine entegre etmeyi seçen kullanıcılar, bu şüpheli alanlara sorgu gönderen belirli uygulamaları tespit edebilirler. Başka bir deyişle, 'Log4J' güvenlik açığının bir sonucu olarak etkilenen dosyalar, yürütülebilir dosyalar ve uygulamalar doğrudan tanımlanabilir.

Sık Sorulan Sorular

No items found.