LinkPro Rootkit: eBPF ile Gizlenip Sihirli TCP Paketleriyle Aktifleşiyor

Anasayfa » LinkPro Rootkit: eBPF ile Gizlenip Sihirli TCP Paketleriyle Aktifleşiyor
Linux Güvenliği, Siber Güvenlik
Ekim 16, 2025Ekim 25, 2025Tarafından Ai Administrator
0
LinkPro Rootkit: eBPF ile Gizlenip Sihirli TCP Paketleriyle Aktifleşiyor

Fransız siber güvenlik firması Synacktiv’in araştırmasına göre, LinkPro adlı Linux rootkit, iki eBPF modülü kullanarak hem kendini gizliyor hem de belirli bir TCP paketi alındığında uzaktan aktive oluyor. Bu arka kapı, CVE-2024-23897 zafiyetine sahip açık bir Jenkins sunucusundan başlayarak, “kvlnt/vv” adlı kötü amaçlı Docker imajı vasıtasıyla Kubernetes kümelerine yayılmış durumda.

Rootkit ve Kötü Amaçlı Bileşenler

Docker imajı Kali Linux tabanlı olup, içinde start.sh betiği, VPN sunucusu olarak çalışan “link” adlı açık kaynaklı vnt programı ve Rust ile yazılmış vGet indiricisi bulunuyor. vGet, S3 depolama alanından şifrelenmiş VShell yükü indirip, C2 sunucusuyla WebSocket üzerinden iletişim kuruyor. Kubernetes düğümlerine ayrıca Golang ile yazılmış LinkPro rootkit ve başka bir vShell arka kapısı içeren dropper da dağıtılmış.

eBPF Modülleri ve Gizlenme Teknikleri

LinkPro, “Hide” adlı eBPF modülü ile süreçleri ve ağ aktivitelerini gizlerken, başarısızlık durumunda /etc/ld.so.preload dosyasına “libld.so” adlı paylaşılan kütüphaneyi ekleyerek kullanıcı alanında gizlenmeyi sürdürüyor. “Knock” eBPF modülü ise sihirli TCP paketlerini algılayarak C2 iletişimini tetikliyor. Bu modül, TCP paketlerinin kaynak ve hedef portlarını değiştirerek ön uç güvenlik duvarı kayıtlarını yanıltıyor.

İletişim Protokolleri ve Komutlar

Rootkit, aktif modda HTTP, WebSocket, UDP, TCP ve DNS protokollerini desteklerken, pasif modda yalnızca HTTP kullanıyor. Desteklenen komutlar arasında pseudo-terminalde /bin/bash çalıştırma, shell komutları yürütme, dosya işlemleri, dosya indirme ve SOCKS5 proxy tüneli kurma yer alıyor. Kalıcılık için systemd servisi kuruluyor ve kesinti durumunda eBPF modülleri kaldırılarak sistem eski haline getiriliyor.

Sonuç ve Tehdit Değerlendirmesi

LinkPro, kernel seviyesinde getdents ve sys_bpf sistem çağrılarını engelleyen eBPF programları kullanarak derin gizlenme sağlıyor. Eğer kernel yapılandırması uygun değilse, kullanıcı alanında kötü amaçlı kütüphane yükleyerek alternatif gizlenme yöntemine başvuruyor. Saldırının arkasındaki aktörler henüz tespit edilmemiş olmakla birlikte, finansal motivasyonlu oldukları düşünülüyor.

, , , , , , ,