Eklenti indirirken iki kere düşündüren virüs: Evil GNOME

Güvenlik Hakkında
Yakın zamanda internette tepkilere yol açan Evil GNOME isimli Spyware kendisini bir GNOME eklentisi olarak kuruyor ve bir keylogger görevi görmekle kalmayıp, dosyalarınızı çalıyor. Biliyorsunuz ki GNOME masaüstüne eklenti kurmak birkaç tıklamadan ibaret ve Ruslar bu durumun avantajından faydalanmış görünüyor. Evil GNOME yakın zamana kadar Virüs Total'de hiçbir taramada zararlı olarak algılanamıyordu.

https://www.virustotal.com/gui/file/a21 ... /detection

https://www.virustotal.com/gui/file/82b ... /detection

https://www.virustotal.com/gui/file/7ff ... /detection

Bu virüsün şu zamana kadar Linux camiasında görülmüş en pis virüslerden birisi olduğunu kabul etmek lazım. Bu Spyware'in işlevlerini sayacak olursak;

- Masaüstü ekran görüntüsü alma ve uzaktaki sunucuya gönderme
- Mikrofondan ses kaydı alabilme ve uzaktaki sunucuya gönderme
- Başka modüller indirip çalıştırabilme
- Dosya sistemini tarama ve yeni oluşturulmuş dosyaları gönderme

- Şu anda işlevselleştirilmemiş olsa da içinde aktif edilmeyi bekleyen bir keylogger modülü de bulunmaktadır

Daha kötüsü virüsün bulaşması tamamen otomatikleştirilmiş, bir autorun argümanı ile kendini ~/.cache/gnome-software/gnome-shell-extensions/ dizinine atmaya ve kurbanın sisteminde masum bir kabuk eklentisi (Shell extension) olarak gibi görünmeye programlanmış. Ayrıca bu virüs gnome-shell-ext.sh isminde bir yan hizmet ile geliyor. Bu hizmet ise virüsün çalışıp çalışmadığını dakika başı kontrol ediyor ve gerekse yeniden başlatıyor. Gnome-shell-ext.sh dosyası enfeksiyonun son noktasında, virüsün kurulumu tamamlandığında çalışmaya başlıyor ve bu noktadan sonra antivirüsler tarafından virüs olarak algılanmaya başlıyor.

Resim

Gamaredon isimli Rus grubu ile bağlantılar

EvilGNOME aynı zamanda Gamaredon grubu ile bağlantılı gözüküyor. İlk olarak virüsün yazılım şekli onların yıllar içinde malware geliştirme konusundaki yaklaşımlarına çok benzer nitelikte. Ayrıca hem EvilGNOEM, hem de Gamaredon grubu aynı hosting şirketine bağlılar. EvilGNOME'un serverlarının ayrıca Rus grup ile bağlantısı olan doainlere bağlı olduğu saptandı.

İkisi de C2 serverlarına bağlanırken SSH üzerinden 3436 portunu kullanıyorlar "2 ek serverın domain isimle Gamaredon domainlerine yakın bir isimlendirme şablonuyla oluşturulmuş (.space TTLS ve ddns kullanımı)"


Evil GNOME hakkında ne düşünüyorsunuz? Belki de yazılım merkezinde bulunmayan birşeyi sistemimize yüklerken 2 kere düşünmeliyiz? Konudaki ek bilgi ve görüşlerinizi bizimle paylaşmaktan çekinmeyin.
Ben indirmistim ateşli temaları falan var çok memnunum.
GNOME kullanmadığım için belki de bana bulaşamayacak zararlı yazılım. Ayrıca GNU/Linux'ta güvenlik yazılımı kullanan son kullanıcı var mı? Bu yüzden güvenlik yazılımlarının algılaması büyük bir olasılıkla pek anlam ifade etmeyecektir.
Türkçesever yazdı:
28 Tem 2019, 19:42
GNOME kullanmadığım için belki de bana bulaşamayacak zararlı yazılım. Ayrıca GNU/Linux'ta güvenlik yazılımı kullanan son kullanıcı var mı? Bu yüzden güvenlik yazılımlarının algılaması büyük bir olasılıkla pek anlam ifade etmeyecektir.
Bulması önemli çünkü dediğin gibi "son kullanıcı yok" ama Linux da farkındaysan kendini doğrudan doğruya son kullanıcıya pazarlamaya çalışmıyor. Bunu topluluk yapıyor. Linux kendini business alanında pazarlama derdinde ve bu yüzden öyle sanıyorum ki bu bir soruna dönüşebilir. Sadece Linux camiası anlamında da düşünme. Bu bir yarış. Bu virüsü ilk hangi antivirüs tanımayı başarırsa o antivirüs yarışı kazanmış olacak. Güvenlik şirketleri bu tür konularda sürekli bir yarış halindeler.

Eğer GNOME kullanmıyorsan "belki" değil, bulaşamayacak bir zararlı yazılım.