Shikitega : nouveau malware furtif ciblant Linux

Jusqu'à récemment, par rapport à Windows, Les utilisateurs de Linux avaient un mythe auquel beaucoup croyaient, qu'il n'y avait pas de virus sous Linux et qu'il n'était pas sensible aux attaques.

Toutefois, De nouvelles données montrent que les tendances en matière de cyberattaques évoluent. Selon les données présentées par l'équipe Atlas VPN, le nombre de nouveaux logiciels malveillants pour Linux a atteint un niveau record au premier semestre 2022, avec près de 1,7 million d'échantillons découverts. Les chercheurs ont dévoilé une nouvelle souche de malware Linux connue pour sa furtivité et sa sophistication dans l'infection des serveurs traditionnels et des petits appareils de l'Internet des objets.

Par rapport à la même période l'année dernière, lorsque 226 324 échantillons avaient été découverts, la quantité de nouveaux logiciels malveillants Linux a grimpé de près de 650 %. Si l'on considère le nombre de nouveaux échantillons de logiciels malveillants Linux d'un trimestre à l'autre, au premier trimestre de cette année, il a diminué de 2 %, passant de 872,165 2021 au quatrième trimestre de 854,688 à 2022 2,5 au premier trimestre de 833.059. Au deuxième trimestre, les échantillons de logiciels malveillants a de nouveau chuté, cette fois de XNUMX %, à XNUMX XNUMX.

Surnommé Shikitega par les chercheurs d'AT&T Alien Labs qui l'ont découvert, ce malware est distribué via une chaîne d'infection de plusieurs pasos utilisant un codage polymorphe. Il utilise également des services cloud légitimes pour héberger des serveurs de commande et de contrôle. Ces éléments rendent la détection extrêmement difficile.

"Les acteurs de la menace continuent de rechercher de nouvelles façons de diffuser des logiciels malveillants afin de rester sous le radar et d'éviter la détection", a écrit Ofer Caspi, chercheur chez AT&T Alien Labs. "Le malware Shikitega est livré de manière sophistiquée, il utilise un encodeur polymorphe et délivre progressivement sa charge utile où chaque étape ne révèle qu'une partie de la charge utile totale. De plus, le logiciel malveillant abuse des services d'hébergement connus pour héberger ses serveurs de commande et de contrôle. »

Le logiciel malveillant télécharge et exécute meterpreter "Mettle" de Metasploit pour maximiser votre contrôle sur les machines infectées ;
Shikitéga exploiter les vulnérabilités du système pour obtenir des privilèges élevés, persistez et exécutez le crypto mineur. Le logiciel malveillant utilise un encodeur polymorphe pour le rendre plus difficile à détecter par les moteurs antivirus. Shikitega abuse des services de cloud computing légitimes pour héberger certains de ses serveurs de commande et de contrôle (C&C).

Il s'agit d'une implémentation de code natif d'un Meterpreter, conçu pour la portabilité, l'intégrabilité et une faible utilisation des ressources. Il peut fonctionner sur les cibles Linux embarquées les plus petites aux plus puissantes et cible Android, iOS, macOS, Linux et Windows, mais peut être porté sur presque tous les environnements compatibles POSIX.

De nouveaux logiciels malveillants comme BotenaGo et EnemyBot illustrent comment les auteurs de logiciels malveillants intègrent rapidement les vulnérabilités nouvellement découvertes pour trouver de nouvelles victimes et augmenter leur portée. Shikitega utilise une chaîne d'infection multicouche, dont la première ne contient que quelques centaines d'octets, et chaque module est responsable d'une tâche spécifique, du téléchargement et de l'exécution du meterpreter Metasploit, à l'exploitation des vulnérabilités Linux, à la configuration de la persistance sur les infectés machine jusqu'à ce qu'un cryptomineur soit téléchargé et exécuté.

Le malware est un très petit fichier ELF, dont la taille totale n'est que d'environ 370 octets, alors que la taille réelle du code est d'environ 300 octets. Le malware utilise l'encodeur polymorphe XOR La rétroaction additive de Shikata Ga Nai, qui est l'un des encodeurs les plus populaires utilisés dans Metasploit. Avec cet encodeur, le logiciel malveillant passe par plusieurs boucles de décryptage, où une boucle décrypte la couche suivante, jusqu'à ce que la charge utile finale du shellcode soit décryptée et exécutée.

Après plusieurs boucles de décryptage, le shellcode final de la charge utile sera décrypté et exécuté, puisque le malware n'utilise aucune importation, il utilise int 0x80 pour exécuter l'appel système approprié. Comme le code principal du compte-gouttes est très petit, le logiciel malveillant téléchargera et exécutera des commandes supplémentaires à partir de sa commande et de son contrôle en appelant 102 syscall ( sys_socketcall ).

1. Le C&C répondra avec des commandes shell supplémentaires à exécuter.
2. Les premiers octets marqués sont les commandes shell que le logiciel malveillant exécutera.
3. La commande reçue téléchargera des fichiers supplémentaires du serveur qui ne seront pas stockés sur le disque dur, mais seront exécutés uniquement en mémoire.
4. Dans d'autres versions du logiciel malveillant, il utilise l'appel système execve pour exécuter /bin/sh avec la commande reçue du C&C.

Le prochain fichier téléchargé et exécuté est un petit fichier ELF supplémentaire (environ 1 Ko) encodé avec l'encodeur Shikata Ga Nai. Le malware décrypte une commande shell à exécuter en appelant syscall_execve avec '/bin/sh' en paramètre avec le shell décrypté. Le compte-gouttes de la deuxième étape décrypte et exécute les commandes shell. La commande shell exécutée téléchargera et exécutera des fichiers supplémentaires. Pour exécuter la prochaine et dernière étape du dropper, il exploitera deux vulnérabilités de Linux pour exploiter les privilèges : CVE-2021-4034 et CVE-2021-3493.

Enfin Si vous souhaitez en savoir plusou, vous pouvez vérifier les détails dans le lien suivant.