Shikitega: Uusi piilohaittaohjelma, joka kohdistuu Linuxiin

Viime aikoihin asti verrattuna Windowsiin Linux-käyttäjillä oli myytti, johon monet uskoivat, että Linuxissa ei ollut viruksia eikä se ollut herkkä hyökkäyksille.

Kuitenkin, Uudet tiedot osoittavat, että kyberhyökkäystrendit ovat muuttumassa. Atlas VPN -tiimin esittämien tietojen mukaan uusien Linux-haittaohjelmien määrä saavutti kaikkien aikojen ennätyksen vuoden 2022 ensimmäisellä puoliskolla, jolloin löydettiin lähes 1,7 miljoonaa näytettä. Tutkijat paljastivat uuden Linux-haittaohjelman, joka on tunnettu sen varkaisuudesta ja hienostuneisuudesta perinteisten palvelimien ja pienten esineiden Internet-laitteiden tartuttamisessa.

Verrattuna viime vuoden vastaavaan ajanjaksoon, jolloin löydettiin 226 324 näytettä, uusien Linux-haittaohjelmien määrä nousi lähes 650 %. Tarkasteltaessa uusien Linux-haittaohjelmanäytteiden määrää vuosineljänneksestä toiseen, se laski tämän vuoden ensimmäisellä neljänneksellä 2 % vuoden 872,165 neljännen neljänneksen 2021 854,688:stä vuoden 2022 ensimmäisen neljänneksen 2,5 833.059:aan. Toisella neljänneksellä haittaohjelmien näytteet laski jälleen, tällä kertaa XNUMX % XNUMX XNUMX:ään.

Lempinimi Shikitega sen löytäneet AT&T Alien Labsin tutkijat, tämä haittaohjelma leviää useiden sivujen tartuntaketjun kauttaasos käyttämällä polymorfista koodausta. Se käyttää myös laillisia pilvipalveluita komento- ja ohjauspalvelimien isännöimiseen. Nämä tekijät tekevät havaitsemisesta erittäin vaikeaa.

"Uhkatoimijat etsivät edelleen uusia tapoja toimittaa haittaohjelmia pysyäkseen tutkan alla ja välttääkseen havaitsemisen", AT&T Alien Labsin tutkija Ofer Caspi kirjoitti. "Shikitega-haittaohjelmat toimitetaan hienostuneella tavalla, se käyttää polymorfista enkooderia ja toimittaa asteittain hyötykuormansa, jossa jokainen vaihe paljastaa vain osan kokonaishyötykuormasta. Lisäksi haittaohjelma käyttää väärin tunnettuja isännöintipalveluita komento- ja ohjauspalvelimien isännöimiseksi. »

Haittaohjelma lataa ja suorittaa mittarin "Mettle" Metasploitista maksimoidaksesi tartunnan saaneiden koneiden hallinnan;
shikitega hyödyntää järjestelmän haavoittuvuuksia saadakseen lisäoikeuksia, jatka ja suorita kryptomineraa. Haittaohjelma käyttää polymorfista kooderia, joka vaikeuttaa virustentorjuntamoottoreiden havaitsemista. Shikitega käyttää väärin laillisia pilvipalveluita isännöidäkseen joitain komento- ja ohjauspalvelimistaan ​​(C&C).

Se on Meterpreterin alkuperäinen kooditoteutus, joka on suunniteltu siirrettävyyttä, integroitavuutta ja vähäistä resurssien käyttöä varten. Se voi toimia pienimmissä ja tehokkaimmissa sulautetuissa Linux-kohteissa, ja se on kohdistettu Androidiin, iOS:ään, macOS:ään, Linuxiin ja Windowsiin, mutta se voidaan siirtää melkein mihin tahansa POSIX-yhteensopivaan ympäristöön.

Uudet haittaohjelmat, kuten BotenaGo ja EnemyBot, havainnollistavat, kuinka haittaohjelmien tekijät integroivat nopeasti äskettäin löydettyjä haavoittuvuuksia löytääkseen uusia uhreja ja lisätäkseen heidän kattavuuttaan. Shikitega käyttää monikerroksista tartuntaketjua, joista ensimmäinen sisältää vain muutama sata tavua, ja jokainen moduuli vastaa tietystä tehtävästä Metasploit-mittarin lataamisesta ja suorittamisesta Linuxin haavoittuvuuksien hyödyntämiseen ja tartunnan saaneiden pysyvyyden määrittämiseen. koneeseen, kunnes kryptomeeri on ladattu ja suoritettu.

Haittaohjelma on hyvin pieni ELF-tiedosto, jonka kokonaiskoko on vain noin 370 tavua, kun taas koodin todellinen koko on noin 300 tavua. Haittaohjelma käyttää polymorfista XOR-kooderia Shikata Ga Nai -lisäainepalaute, joka on yksi suosituimmista Metasploitissa käytetyistä koodereista. Tällä kooderilla haittaohjelma käy läpi useita salauksenpurkusilmukoita, joissa yksi silmukka purkaa seuraavan kerroksen, kunnes lopullinen kuorikoodin hyötykuorma puretaan ja suoritetaan.

Useiden salauksenpurkusilmukoiden jälkeen lopullinen hyötykuorman kuorikoodi puretaan ja suoritetaan, koska haittaohjelma ei käytä tuontia, vaan se käyttää int 0x80 suorittaakseen asianmukaisen järjestelmäkutsun. Koska dropperin pääkoodi on hyvin pieni, haittaohjelma lataa ja suorittaa lisäkomentoja komentostaan ​​ja ohjauksestaan ​​soittamalla numeroon 102 syscall ( sys_socketcall ).

1. C&C vastaa suoritettavissa olevilla komentotulkkikomennoilla.
2. Ensimmäiset merkityt tavut ovat komentotulkkikomentoja, jotka haittaohjelma suorittaa.
3. Vastaanotettu komento lataa palvelimelta lisätiedostoja, joita ei tallenneta kiintolevylle, vaan jotka suoritetaan vain muistiin.
4. Muissa haittaohjelman versioissa se käyttää execve-järjestelmäkutsua suorittaakseen /bin/sh:n C&C:ltä saadun komennon kanssa.

Seuraavaksi ladattu ja suoritettu tiedosto on pieni ELF-tiedosto (noin 1 kB), joka on koodattu Shikata Ga Nai -kooderilla. Haittaohjelma purkaa suoritettavan komentotulkkikomennon salauksen kutsumalla syscall_execve, jonka parametrina on '/bin/sh', kun komentotulkin salaus on purettu. Toisen vaiheen dropper purkaa ja suorittaa komentotulkkikomennot. Suoritettu shell-komento lataa ja suorittaa lisätiedostoja. Seuraavan ja viimeisen vaiheen dropperin suorittamiseksi se hyödyntää kahta Linuxin haavoittuvuutta oikeuksien hyödyntämiseksi: CVE-2021-4034 ja CVE-2021-3493.

Vihdoin Jos olet kiinnostunut tietämään asiasta lisäätai voit tarkistaa yksityiskohdat Seuraavassa linkissä.