Shikitega usvaja višestepeni lanac infekcije kako bi ugrozio krajnje tačke i IoT uređaje
Donedavno, u poređenju sa Windowsom, Korisnici Linuxa imali su mit u koji su mnogi vjerovali, da u Linuxu nije bilo virusa i da nije bio podložan napadima.
Međutim, Novi podaci pokazuju da se trendovi u sajber napadima mijenjaju. Prema podacima koje je predstavio Atlas VPN tim, količina novog zlonamjernog softvera za Linux dostigla je najviši nivo u istoriji u prvoj polovini 2022. godine, sa skoro 1,7 miliona otkrivenih uzoraka. Istraživači su predstavili novu vrstu Linux zlonamjernog softvera poznatog po svojoj skrivenosti i sofisticiranosti u zarazi tradicionalnih servera i malih uređaja Interneta stvari.
U poređenju sa istim periodom prošle godine, kada je otkriveno 226 uzorka, količina novog Linux malvera porasla je za skoro 324%. Gledajući broj novih uzoraka zlonamjernog softvera za Linux iz kvartala u tromjesečje, u prvom kvartalu ove godine smanjio se za 650% sa 2 u četvrtom kvartalu 872,165. na 2021 u prvom kvartalu 854,688. U drugom tromjesečju, uzorci zlonamjernog softvera ponovo je pao, ovaj put za 2022%, na 2,5.
Nadimak Shikitega od strane istraživača AT&T Alien Labsa koji su ga otkrili, ovaj zlonamjerni softver se distribuira kroz lanac infekcije od nekoliko pasos koristeći polimorfno kodiranje. Takođe koristi legitimne usluge u oblaku za hostovanje komandnih i kontrolnih servera. Ovi elementi izuzetno otežavaju otkrivanje.
"Aktueri prijetnji nastavljaju tražiti nove načine za isporuku zlonamjernog softvera kako bi ostali ispod radara i izbjegli otkrivanje", napisao je Ofer Caspi, istraživač AT&T Alien Labsa. “Shikitega malver se isporučuje na sofisticiran način, koristi polimorfni koder i postepeno isporučuje svoj teret pri čemu svaki korak otkriva samo dio ukupnog korisnog opterećenja. Nadalje, zlonamjerni softver zloupotrebljava poznate hosting usluge za hostovanje svojih komandnih i kontrolnih servera. »
Zlonamjerni softver preuzima i pokreće meterpreter “Mettle” iz Metasploita kako biste povećali svoju kontrolu nad zaraženim mašinama;
shikitega iskoristiti sistemske ranjivosti da biste stekli povišene privilegije, ustrajte i pokrenite kripto rudar. Zlonamjerni softver koristi polimorfni koder kako bi otežao otkrivanje antivirusnih mehanizama. Shikitega zloupotrebljava legitimne usluge računarstva u oblaku kako bi ugostio neke od svojih komandnih i kontrolnih (C&C) servera.
To je izvorna implementacija koda Meterpretera, dizajnirana za prenosivost, integraciju i nisku upotrebu resursa. Može raditi na najmanjim do najmoćnijim ugrađenim Linux ciljevima i cilja na Android, iOS, macOS, Linux i Windows, ali se može prenijeti na gotovo svako okruženje kompatibilno s POSIX-om.
Novi zlonamjerni softver kao što su BotenaGo i EnemyBot ilustruju kako autori zlonamjernog softvera brzo integriraju novootkrivene ranjivosti kako bi pronašli nove žrtve i povećali njihov doseg. Shikitega koristi višeslojni lanac infekcije, od kojih prvi sadrži samo nekoliko stotina bajtova, a svaki modul je odgovoran za određeni zadatak, od preuzimanja i pokretanja Metasploit meterpretera, do iskorištavanja ranjivosti Linuxa, do konfiguriranja postojanosti na zaraženom mašine dok se kriptomajner ne preuzme i izvrši.
Zlonamjerni softver je vrlo mala ELF datoteka, čija je ukupna veličina samo oko 370 bajtova, dok je stvarna veličina koda oko 300 bajtova. Zlonamjerni softver koristi polimorfni XOR koder Shikata Ga Nai aditivni feedback, koji je jedan od najpopularnijih kodera koji se koriste u Metasploitu. Sa ovim koderom, zlonamjerni softver prolazi kroz višestruke petlje za dešifriranje, gdje jedna petlja dešifruje sljedeći sloj, sve dok se konačni sadržaj shellcodea ne dešifruje i izvrši.
Nakon nekoliko petlji dešifriranja, konačni korisni kod ljuske bit će dešifrovan i izvršen, budući da zlonamjerni softver ne koristi nikakav uvoz, on koristi int 0x80 da izvrši odgovarajući sistemski poziv. Kako je glavni kod droppera vrlo mali, zlonamjerni softver će preuzeti i izvršiti dodatne komande iz svoje komande i kontrole pozivanjem 102 syscall (sys_socketcall).
- C&C će odgovoriti dodatnim naredbama ljuske za izvršenje.
- Prvi označeni bajtovi su komande ljuske koje će zlonamjerni softver izvršiti.
- Primljena komanda će sa servera preuzeti dodatne datoteke koje neće biti pohranjene na tvrdom disku, već će se izvršavati samo u memoriji.
- U drugim verzijama zlonamjernog softvera, koristi sistemski poziv execve da izvrši /bin/sh sa komandom primljenom od C&C-a.
Sljedeća datoteka koja se preuzima i izvršava je dodatna mala ELF datoteka (oko 1 kB) kodirana koderom Shikata Ga Nai. Zlonamjerni softver dešifrira naredbu ljuske koju treba izvršiti pozivanjem syscall_execve sa '/bin/sh' kao parametrom s dešifrovanom ljuskom. Druga faza dropper dešifruje i izvršava komande ljuske. Izvršena naredba ljuske će preuzeti i izvršiti dodatne datoteke. Da bi pokrenuo sljedeću i završnu fazu ispuštanja, on će iskoristiti dvije ranjivosti u Linuxu za iskorištavanje privilegija: CVE-2021-4034 i CVE-2021-3493.
Konačno Ako ste zainteresovani da saznate više o tomeili, možete provjeriti detalje Na sledećem linku.
Opet brkamo viruse s drugim vrstama zlonamjernog softvera (rupa, trojanac).
Virusi moraju imati neku vrstu sistema samoreplikacije bez naše ekspresne intervencije.
Mnogo tehničkih riječi, ali kaže da je računar zaražen ranjivostima, GNU/Linux se svakodnevno ažurira, jer nema potrebe da plaćate licence jer svi imaju legalne i ažurirane. Pa kako se zaraziti? I budimo ozbiljni, ne radi se o tome da Linux nema viruse, nego da se mnogo teže širi jer ne radi gluposti poput pokretanja bilo koje datoteke po ekstenziji, pokretanja programa sa USB-a ili DVD-a jednostavnim umetanjem u računara, Microsoftu treba više nego duplo duže vremena da popravi otkrivene ranjivosti, u početku Linux ima zatvorene sve nepotrebne portove itd. Ova vrsta vijesti stvorena da seju sumnje i da ljudi ne prelaze u GNU/Linux svijet su smiješni.
I koji antivirus za linux se preporučuje?
Imao sam COMODO AV ali je prestao da ažurira baze podataka.