🛡️ Yeni Linux Saldırı Zinciri: Zararlı RAR Dosya İsimleriyle Antivirüsleri Atlatan Tehlike
Siber güvenlik dünyasında yeni bir tehdit gündemde: Linux sistemlerini hedef alan ve zararlı yazılımı RAR dosya adları üzerinden yayan sıra dışı bir saldırı zinciri keşfedildi. Bu yöntem, geleneksel antivirüs çözümlerini kolaylıkla atlarken, sistem yöneticileri ve güvenlik uzmanları için ciddi bir uyarı niteliği taşıyor.
⚠️ Saldırının Özeti
Bu yeni teknik, zararlı kodu dosya içeriğine değil, doğrudan dosya adının içine gizliyor. Base64 ile kodlanmış Bash komutları, shell script’leri tarafından yorumlandığında otomatik olarak çalıştırılabiliyor. Özellikle eval ve echo gibi komutlar kullanıldığında, sistemde komut enjeksiyonu gerçekleşebiliyor.
👁️ Antivirüslerin Kör Noktası
Çoğu güvenlik yazılımı dosya içeriğini tararken, dosya adlarını analiz etmiyor. Bu da saldırganlara, zararlı kodu fark edilmeden çalıştırma fırsatı veriyor. Bu yöntemle sistem belleğine yüklenen zararlı yazılım, disk üzerinde iz bırakmadan çalışabiliyor.
🧪 Saldırı Nasıl Gerçekleşiyor?
- Oltalama e-postası: Kullanıcıya anket daveti gibi masum bir e-posta gönderiliyor. Ekte “yy.rar” adlı bir arşiv dosyası yer alıyor.
- Zararlı dosya adı: Arşivdeki dosya adı, örneğin
ziliao2.pdf\{echo,}|{base64,-d}|bashşeklinde hazırlanıyor. - Shell yorumlama hatası: Script dosyası bu adı işlerken, shell komutu tetikleniyor.
- Arka kapı kurulumu: Sistem mimarisine uygun ELF binary’si indirilerek bellekte çalıştırılıyor. Bu işlem, VShell RAT aracılığıyla uzaktan erişim sağlıyor.
🧠 VShell RAT Nedir?
VShell, Go diliyle yazılmış ve Çin merkezli APT gruplarının da kullandığı bir uzaktan erişim aracıdır. Özellikleri arasında:
- Reverse shell bağlantısı
- Dosya ve süreç yönetimi
- Port yönlendirme
- Şifreli C2 iletişimi
- Disk üzerinde iz bırakmadan bellek içi çalıştırma
- Sunucular ve IoT cihazlar dahil çoklu mimari desteği
🔍 Ek Tehdit: RingReaper
Picus Security tarafından analiz edilen RingReaper adlı başka bir araç da benzer dönemde ortaya çıktı. Bu araç:
- Linux kernel’in io_uring API’sini kullanarak geleneksel güvenlik kontrollerini atlatıyor
- Sistem süreçlerini ve ağ bağlantılarını gizlice tarayabiliyor
- SUID binary’leri kullanarak yetki yükseltme yapabiliyor
- İz bırakmadan kendini temizleyebiliyor
✅ Ne Yapılmalı?
Bu tür saldırılara karşı korunmak için aşağıdaki önlemler kritik öneme sahip:
- Dosya adı doğrulaması: Script ve otomasyon sistemlerinde kullanıcıdan gelen dosya adları mutlaka filtrelenmeli ve temizlenmeli.
- EDR/XDR güncellemeleri: Dosya adı kaynaklı komut enjeksiyonlarını ve io_uring tabanlı istismarları algılayacak yeni kurallar geliştirilmeli.
- Kullanıcı farkındalığı: Sosyal mühendislik temelli oltalama saldırılarına karşı düzenli eğitimler verilmeli.
📌 Sonuç
Linux sistemlerini hedef alan bu yeni saldırı zinciri, güvenlik dünyasında dosya adı gibi göz ardı edilen detayların ne kadar kritik olabileceğini gösteriyor. CUMBUR.net olarak bu tür tehditleri yakından takip ediyor ve sizi dijital dünyada güvende tutmak için bilgilendirmeye devam ediyoruz.
👉 Siber güvenlikte detaylara dikkat edin, sistemlerinizi koruyun!
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
