Shikitega: nou codi maliciós sigil·lós dirigit a Linux

Fins fa poc, en comparació amb Windows, els usuaris de Linux teníem un mite que molts creien, que a Linux no existien virus i no era susceptible a atacs.

No obstant això, noves dades mostren que les tendències en ciberatacs estan canviant. Segons les dades presentades per l'equip d'Atlas VPN, la quantitat de codi maliciós nou per a Linux va assolir un màxim històric a la primera meitat del 2022, ja que es van descobrir gairebé 1,7 milions de mostres. Els investigadors van donar a conèixer una nova varietat de codi maliciós (malware) per a Linux que es destaca pel seu sigil i sofisticació per infectar servidors tradicionals i petits dispositius d'Internet de les coses.

En comparació amb el mateix període de l'any passat, quan es van descobrir 226 mostres, la quantitat de malware nou per a Linux es va disparar en gairebé un 324%. En observar la quantitat de noves mostres de codi maliciós de Linux trimestre a trimestre, el primer trimestre d'aquest any va disminuir un 650% de 2 el quart trimestre del 872,165 a 2021 el primer trimestre del 854,688. Al segon trimestre, les mostres de codi maliciós van caure de nou, aquesta vegada un 2022%, fins als 2,5.

Anomenat Shikitega pels investigadors d'AT&T Alien Labs que ho van descobrir, aquest codi maliciós es distribueix a través d'una cadena d'infecció de diversos prossos utilitzant codificació polimòrfica. També utilitza serveis al núvol legítims per allotjar servidors d'ordre i control. Aquests elements fan que la detecció sigui extremadament difícil.

"Els actors d'amenaces continuen buscant noves maneres de lliurar codi maliciós per romandre sota el radar i evitar la detecció", va escriure l'investigador d'AT&T Alien Labs, Ofer Caspi. “El codi maliciós Shikitega es lliura d'una manera sofisticada, utilitza un codificador polimòrfic i lliura gradualment la seva càrrega útil on cada pas revela només una part de la càrrega útil total. A més, el codi maliciós abusa dels serveis d'allotjament coneguts per allotjar els seus servidors de comandament i control. »

El codi maliciós descarrega i executa meterpreter «Mettle» de Metasploit per maximitzar-ne el control sobre les màquines infectades;
Shikitega explota les vulnerabilitats del sistema per obtenir privilegis elevats, persistir i executar crypto miner. El codi maliciós utilitza un codificador polimòrfic perquè sigui més difícil de detectar per als motors antivirus. Shikitega abusa dels serveis legítims de computació al núvol per emmagatzemar alguns dels seus servidors d'ordre i control (C&C).

És una implementació de codi nadiu d'un Meterpreter, dissenyat per a portabilitat, capacitat d'integració i ús de recursos baixos. Pot funcionar en els objectius embeguts de Linux més petits fins als més potents, i s'adreça a Android, iOS, macOS, Linux i Windows, però es pot migrar a gairebé qualsevol entorn compatible amb POSIX.

El nou codi maliciós com BotenaGo i EnemyBot il·lustra com els autors de codi maliciós estan integrant ràpidament les vulnerabilitats recentment descobertes per trobar noves víctimes i augmentar el seu abast. Shikitega utilitza una cadena d'infecció de diverses capes, la primera de les quals conté només uns pocs centenars de bytes, i cada mòdul és responsable d'una tasca específica, des de descarregar i executar el meterpreter de Metasploit, explotar les vulnerabilitats de Linux, configurar la persistència a la màquina infectada fins que un cryptominer es descarrega i executa.

El malware és un arxiu ELF molt petit, la mida total del qual és de només uns 370 bytes, mentre que la mida real del codi és d'uns 300 bytes. El codi maliciós utilitza el codificador polimòrfic XOR de retroalimentació additiva Shikata Ga Nai, que és un dels codificadors més populars utilitzats a Metasploit. Amb aquest codificador, el codi maliciós passa per múltiples bucles de descodificació, on un bucle descodifica la següent capa, fins que es descodifica i executa la càrrega útil final del codi shell.

Després de diversos bucles de desxifrat, el codi d'intèrpret d'ordres de càrrega útil final es desxifrarà i executarà, ja que el malware no utilitza cap importació, utilitza int 0x80 per executar la trucada al sistema adequada. Com que el codi principal del dropper és molt petit, el malware descarregarà i executarà ordres addicionals des del seu comandament i control trucant al 102 syscall ( sys_socketcall ).

1. El C&C respondrà amb ordres d'intèrpret d'ordres addicionals per executar.
2. Els primers bytes marcats són les ordres de shell que executarà el codi maliciós (malware).
3. L'ordre rebuda descarregarà fitxers addicionals del servidor que no s'emmagatzemaran al disc dur, sinó que s'executaran només a la memòria.
4. En altres versions del codi maliciós (malware), utilitza la trucada al sistema execve per executar /bin/sh amb l'ordre rebut del C&C.

El següent fitxer descarregat i executat és un petit fitxer ELF addicional (al voltant d'1 kB) codificat amb el codificador Shikata Ga Nai. El codi maliciós desxifra una ordre d'intèrpret d'ordres que s'executarà trucant a syscall_execve amb '/bin/sh' com a paràmetre amb l'intèrpret d'ordres desxifrat. El dropper de la segona etapa desxifra i executa les ordres de shell. L'ordre d'intèrpret d'ordres executat descarregarà i executarà fitxers addicionals. Per executar el dropper d'etapa següent i final, explotarà dues vulnerabilitats a Linux per aprofitar els privilegis: CVE-2021-4034 i CVE-2021-3493.

Finalment si estàs interessat a poder conèixer més al respecteo, pots consultar els detalls en el següent enllaç.