🔬 Deep Dive Into a Linux Rootkit Malware
📝 تیم FortiGuard Incident Response (FGIR) در حین بررسی یک حادثه امنیتی متوجه شد که مهاجم از آسیبپذیری CVE-2024-8190 بر روی سرویسهای ابری Ivanti و دو آسیبپذیری دیگر (که یکی مربوط به (Path Traversal) در منبع /client/index.php که به مهاجم این امکان را میدهد که به منابع دیگری مانند users.php، reports.php و... دسترسی غیرمجاز پیدا کند ( CVE-2024-8963 ) و دیگری به تزریق دستور (Command Injection) در منبع reports.php مربوط میشود CVE-2024-9380 ) برای نفوذ به سیستمهای Ivanti و دسترسی غیرمجاز به منابع مختلف استفاده کرده است
🦠 پس از نفوذ به سیستم، مهاجمان یک rootkit (که در اینجا یک ماژول کرنل قابل بارگذاری به نام sysinitd.ko است) و یک فایل باینری در فضای کاربر به نام sysinitd را مستقر کردهاند
🕷 استفاده از اسکریپت برای نصب rootkit: مهاجمان از یک Shell script به نام Install[.]sh برای نصب و راهاندازی rootkit و باینریها استفاده کردهاند
🔍 پایداری rootkit : برای اطمینان از اینکه rootkit بهطور خودکار در هر بار راهاندازی سیستم اجرا شود، ورودیهایی برای این rootkit به فایلهای سیستم مانند
/etc/rc.local و /etc/rc.d/rc.local
اضافه شده است که این فایلها برای بارگذاری خودکار برنامهها هنگام شروع سیستم استفاده میشوند...
🔬 Deep Dive Into This Linux Rootkit
👁🗨 https://www.fortinet.com/blog/threat-research/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa (بررسی حمله)
|
∟📂 https://www.fortinet.com/blog/threat-research/deep-dive-into-a-linux-rootkit-malware (بررسی روت کیت)
#Linux
#Rootkit
#Malware
#Ivanti
#Cloud_Services
#analysis
@iDeFense
Fortinet Blog
Deep Dive Into a Linux Rootkit Malware
An in-depth analysis of how a remote attacker deployed a rootkit and a user-space binary file by executing a shell script.…
❤🔥5👍1