Snapekit Rootkit Kötü Amaçlı Yazılımı Arch Linux Kullanıcılarını Hedefliyor
Snapekit Rootkit Kötü Amaçlı Yazılımı, esas olarak bir bilgisayar sistemine izinsiz erişim ve kontrol sağlamak için tasarlanmış kötü amaçlı bir yazılım türüdür ve varlığını gizliyor.
Bunlar, işletim sistemi içinde düşük bir seviyede çalıştıkları için tespit edilmesi ve kaldırılması zor olabilir.
Gizlenme yetenekleri, tehdit aktörlerinin sistem işlevlerini manipüle etmek, veri çalmak ve ek kötü amaçlı yazılımlar dağıtmak gibi birçok yasadışı faaliyeti tespit edilmeden gerçekleştirmelerine olanak tanır.
Gen Threat Labs araştırmacıları, yakın zamanda Arch Linux’u hedef aldığı tespit edilen yeni ve gelişmiş bir rootkit keşfettiler ve bu yeni gelişmiş rootkit’e ‘Snapekit’ adı verildi.”
Yeni Snapekit Rootkit Kötü Amaçlı Yazılımı
Bu gelişmiş kötü amaçlı yazılım, sistemin “çekirdeği” (kernel) ile programlar arasındaki temel iletişimleri oluşturan “21 farklı sistem çağrısını” keserek ve değiştirerek sistemi manipüle eder.
Snapekit, gizliliğini korumak için “kullanıcı alanı dropper” (bir dağıtım aracı) kullanır. Bu araç, “Cuckoo Sandbox,” “JoeSandbox,” “Hybrid-Analysis,” “Frida” (dinamik enstrümantasyon aracı), “Ghidra” (NSA’in tersine mühendislik aracı) ve “IDA Pro” (Etkileşimli Ayrıştırıcı) gibi yaygın güvenlik analiz araçlarını ve hata ayıklayıcıları aktif olarak tarar ve bunlardan kaçar. Bu analiz araçlarından herhangi biri tespit edildiğinde, Snapekit, tespitten kaçınmak için davranışını akıllıca değiştirir.
Bu, rootkit’in kötü amaçlı yükünü gizlemesine olanak tanır; ayrıca çekirdek alanı yerine kullanıcı alanında tamamen faaliyet göstermesi, onu “tespit” ve “analiz” etmeyi zorlaştırır.
Gelişmiş kötü amaçlı yazılım dropper, “PTrace” (Süreç İzleme) tespit mekanizmalarını uygulayarak yapılan hata ayıklama girişimlerini aktif olarak belirleyen ve işaretleyen gelişmiş anti-analiz yetenekleri sergiler.
Bu güvenlik önlemi, “çok katmanlı” kaçınma teknikleriyle birleştirilmiştir ve bu da onu hem “otomatik analiz araçlarına” (sandboxes ve sanal makineler gibi) hem de güvenlik araştırmacılarının “manuel tersine mühendislik” çabalarına karşı dirençli hale getirir.
İlginizi çekebilecek yazımız: Google, Kaspersky Uygulamalarını Play Store’dan Kaldırdı
Kötü amaçlı yazılımın yaratıcısı olarak bilinen “Humzak711,” “Snapekit” projesinin tamamını GitHub platformunda açık kaynak kodu olarak yayınlama planlarını açıkladı.
Bu gelişme, hem siber güvenlik araştırmacıları hem de tehdit aktörleri için önemli sonuçlar doğurabilir.
Kötü amaçlı yazılımın güçlü savunma mekanizmaları arasında “kod karartma” (obfuscation), “anti-debugging rutinleri” ve “çalışma ortamı tespiti” yer almakta olup, bu da onu mevcut tehdit ortamında benzersiz bir model haline getirmektedir.
Siber güvenlik araştırmacılarına, bu tehdidi etkin bir şekilde analiz edebilmek için “gelişmiş sandboxing araçları,” “hata ayıklayıcı atlatma teknikleri” ve “işbirlikçi analiz çerçeveleri” ile kapsamlı analiz ortamları hazırlamaları tavsiye edilmektedir.
Haber Kaynağı: Cyber Security News