多段階の感染チェーンを採用してエンドポイントと IoT デバイスを侵害する Shikitega
最近までWindowsに比べて、 Linux ユーザーには、多くの人が信じている神話がありました、Linuxにはウイルスがなく、攻撃を受けにくいことがわかりました。
しかし、 新しいデータは、サイバー攻撃の傾向が変化していることを示しています。 Atlas VPN チームが提示したデータによると、Linux 向けの新しいマルウェアの量は 2022 年前半に過去最高を記録し、1,7 万近くのサンプルが発見されました。 研究者は、従来のサーバーや小型のモノのインターネット デバイスに感染する際のステルス性と巧妙さで知られる Linux マルウェアの新種を明らかにしました。
226 個のサンプルが発見された昨年の同時期と比較して、新しい Linux マルウェアの量はほぼ 324% 増加しました。 四半期ごとの新しい Linux マルウェア サンプルの数を見ると、今年の第 650 四半期では、2 年第 872,165 四半期の 2021 から 854,688 年第 2022 四半期の 2,5 に 833.059% 減少しました。今回は XNUMX% 減の XNUMX 人でした。
愛称 シキテガ それを発見した AT&T Alien Labs の研究者によって、 このマルウェアは、数 p の感染チェーンを通じて配布されます。ポリモーフィック エンコーディングを使用した asos。 また、正規のクラウド サービスを使用してコマンド アンド コントロール サーバーをホストします。 これらの要素は、検出を非常に困難にします。
AT&T Alien Labs の研究者 Ofer Caspi は次のように書いています。 「Shikitega マルウェアは洗練された方法で配信されます。ポリモーフィック エンコーダーを使用し、ペイロードを徐々に配信しますが、各ステップでは総ペイロードの一部のみが明らかになります。 さらに、マルウェアは、既知のホスティング サービスを悪用してコマンド アンド コントロール サーバーをホストします。 »
マルウェアは、メータープリター「Mettle」をダウンロードして実行します Metasploit から、感染したマシンを最大限に制御します。
シキテガ システムの脆弱性を悪用して権限を昇格する、暗号マイナーを永続化して実行します。 このマルウェアは、ポリモーフィック エンコーダーを使用して、ウイルス対策エンジンによる検出を困難にします。 Shikitega は、正規のクラウド コンピューティング サービスを悪用して、コマンド アンド コントロール (C&C) サーバーの一部をホストしています。
これは、移植性、統合性、および低リソース使用のために設計された、Meterpreter のネイティブ コード実装です。 最小から最も強力な組み込み Linux ターゲットで実行でき、Android、iOS、macOS、Linux、および Windows をターゲットにしますが、ほぼすべての POSIX 準拠環境に移植できます。
BotenaGo や EnemyBot などの新しいマルウェアは、マルウェア作成者が新たに発見された脆弱性を迅速に統合して、新しい被害者を見つけ、その範囲を拡大する方法を示しています。 Shikitega は、多層の感染チェーンを使用します。最初のチェーンには数百バイトしかありません。各モジュールは、Metasploit meterpreter のダウンロードと実行から、Linux の脆弱性の悪用、感染したファイルの持続性の設定まで、特定のタスクを担当します。クリプトマイナーがダウンロードされて実行されるまで、
マルウェアは非常に小さな ELF ファイルです、その合計サイズはわずか約 370 バイトですが、コードの実際のサイズは約 300 バイトです。. マルウェアは、ポリモーフィック XOR エンコーダーを使用します。 Metasploit で使用される最も一般的なエンコーダの XNUMX つである、四方が無い加法的フィードバック。 このエンコーダーを使用すると、マルウェアは複数の復号化ループを通過し、最終的なシェルコード ペイロードが復号化されて実行されるまで、XNUMX つのループで次の層が復号化されます。
数回の復号化ループの後、最終的なペイロード シェルコードが復号化されて実行されます。マルウェアはインポートを使用しないため、int 0x80 を使用して適切なシステム コールを実行します。 ドロッパーのメイン コードは非常に小さいため、マルウェアは 102 syscall ( sys_socketcall ) を呼び出して、コマンド アンド コントロールから追加のコマンドをダウンロードして実行します。
- C&C は、実行する追加のシェル コマンドで応答します。
- 最初にマークされたバイトは、マルウェアが実行するシェル コマンドです。
- 受信したコマンドは、サーバーから追加のファイルをダウンロードします。このファイルはハード ドライブには保存されませんが、メモリ内でのみ実行されます。
- このマルウェアの他のバージョンでは、execve システム コールを使用して、C&C から受け取ったコマンドで /bin/sh を実行します。
次にダウンロードして実行するファイルは、Shikata Ga Nai エンコーダーでエンコードされた小さな ELF ファイル (約 1 kB) です。 マルウェアは、復号化したシェルで「/bin/sh」をパラメータとしてsyscall_execveを呼び出すことで、実行するシェルコマンドを復号化します。 第 2021 段階のドロッパーは、シェル コマンドを復号化して実行します。 実行されたシェル コマンドは、追加のファイルをダウンロードして実行します。 次の最終段階のドロッパーを実行するために、Linux の 4034 つの脆弱性を悪用して特権を悪用します: CVE-2021-3493 および CVE-XNUMX-XNUMX。
最後に それについてもっと知りたいと思ったらまたは、詳細を確認できます 次のリンクで。
ここでも、ウイルスを他の種類のマルウェア (ホール、トロイの木馬) と混同しています。
ウイルスは、私たちの明示的な介入なしに、ある種の自己複製システムを備えている必要があります。
多くの技術的な言葉がありますが、コンピューターは脆弱性に感染していると書かれています。GNU/Linux は毎日更新されます。誰もが合法で最新のライセンスを持っているため、ライセンス料を支払う必要がないからです。 では、どうやって感染するのでしょうか? 真剣に考えてみましょう。Linux にウイルスがないわけではありません。Linux は拡張子を指定してファイルを実行したり、USB や DVD からプログラムを実行したりするなどのばかげたことを行わないため、拡散するのがはるかに困難です。 Microsoft は、検出された脆弱性を修正するのに XNUMX 倍以上の時間を要します。最初に、Linux はすべての不要なポートを閉じます。 この種のニュースは、人々が GNU/Linux の世界に足を踏み入れないという疑念の種をまくために作成されたもので、ばかげています。
また、推奨される Linux 用のアンチウイルスは何ですか?
COMODO AV を持っていましたが、データベースの更新が停止しました。