Shikitega는 엔드포인트 및 IoT 장치를 손상시키기 위해 다단계 감염 체인을 채택합니다.
최근까지 Windows에 비해 Linux 사용자는 많은 사람들이 믿었던 신화를 가지고 있었습니다., Linux에는 바이러스가 없었고 공격에 취약하지 않았습니다.
그러나, 새로운 데이터는 사이버 공격의 경향이 변화하고 있음을 보여줍니다. Atlas VPN 팀이 제공한 데이터에 따르면 Linux용 새로운 맬웨어의 양은 2022년 상반기에 거의 1,7만 샘플이 발견되어 사상 최고치를 기록했습니다. 연구원들은 은밀하고 정교하게 기존 서버와 소형 사물 인터넷 장치를 감염시키는 것으로 유명한 Linux 악성 코드의 새로운 변종을 공개했습니다.
지난해 같은 기간에 226개의 샘플이 발견된 것과 비교하면, 새로운 리눅스 악성코드의 양은 거의 324%나 급증했습니다. 분기별로 새로운 Linux 멀웨어 샘플 수를 살펴보면 올해 650분기에 2년 872,165분기 2021개에서 854,688년 2022분기 2,5개로 833.059% 감소했습니다. 이번에도 XNUMX% 하락한 XNUMX명을 기록했다.
별명 시키테가 그것을 발견한 AT&T Alien Labs 연구원들에 의해, 이 악성코드는 여러 p의 감염 체인을 통해 배포됩니다.다형성 인코딩을 사용하는 asos. 또한 합법적인 클라우드 서비스를 사용하여 명령 및 제어 서버를 호스팅합니다. 이러한 요소는 감지를 매우 어렵게 만듭니다.
AT&T Alien Labs의 연구원인 Ofer Caspi는 "위협 행위자들은 레이더를 피하고 탐지를 피하기 위해 맬웨어를 전달하는 새로운 방법을 계속 찾고 있습니다. “Shikitega 악성코드는 정교한 방식으로 전달되며, 다형성 인코더를 사용하고 각 단계에서 전체 페이로드의 일부만 드러내는 페이로드를 점진적으로 전달합니다. 또한 이 악성코드는 알려진 호스팅 서비스를 악용하여 명령 및 제어 서버를 호스팅합니다. »
멀웨어는 미터프리터 "Mettle"을 다운로드하여 실행합니다. Metasploit에서 감염된 시스템에 대한 제어를 극대화합니다.
시키테가 시스템 취약점을 악용하여 상승된 권한 획득, 지속하고 암호화 광부를 실행합니다. 멀웨어는 다형성 인코더를 사용하여 안티바이러스 엔진이 탐지하기 어렵게 만듭니다. Shikitega는 합법적인 클라우드 컴퓨팅 서비스를 악용하여 일부 명령 및 제어(C&C) 서버를 호스팅합니다.
이식성, 통합성 및 낮은 리소스 사용량을 위해 설계된 Meterpreter의 기본 코드 구현입니다. 가장 작은 것부터 가장 강력한 임베디드 Linux 대상에서 실행할 수 있으며 Android, iOS, macOS, Linux 및 Windows를 대상으로 하지만 거의 모든 POSIX 호환 환경으로 이식할 수 있습니다.
BotenaGo 및 EnemyBot과 같은 새로운 맬웨어는 맬웨어 작성자가 새로 발견된 취약점을 신속하게 통합하여 새로운 피해자를 찾고 도달 범위를 늘리는 방법을 보여줍니다. Shikitega는 다층 감염 체인을 사용하며, 첫 번째는 수백 바이트에 불과하며 각 모듈은 Metasploit meterpreter 다운로드 및 실행에서 Linux 취약점 악용, 감염된 시스템의 지속성 구성에 이르기까지 특정 작업을 담당합니다. 크립토마이너가 다운로드되어 실행될 때까지 머신.
악성코드는 매우 작은 ELF 파일입니다., 총 크기는 약 370바이트에 불과하지만 코드의 실제 크기는 약 300바이트입니다.. 악성코드는 다형성 XOR 인코더를 사용합니다. Metasploit에서 가장 널리 사용되는 인코더 중 하나인 Shikata Ga Nai 추가 피드백. 이 인코더를 사용하면 멀웨어는 최종 셸코드 페이로드가 해독되고 실행될 때까지 한 루프가 다음 계층을 해독하는 여러 해독 루프를 거칩니다.
여러 복호화 루프 후에 최종 페이로드 셸코드가 복호화되고 실행됩니다. 악성코드는 가져오기를 사용하지 않기 때문에 int 0x80을 사용하여 적절한 시스템 호출을 실행합니다. 드로퍼의 메인 코드가 매우 작기 때문에 맬웨어는 102 syscall( sys_socketcall )을 호출하여 명령 및 제어에서 추가 명령을 다운로드하고 실행합니다.
- C&C는 실행할 추가 셸 명령으로 응답합니다.
- 첫 번째 표시된 바이트는 맬웨어가 실행할 셸 명령입니다.
- 수신된 명령은 하드 드라이브에 저장되지 않고 메모리에서만 실행되는 추가 파일을 서버에서 다운로드합니다.
- 다른 버전의 악성코드에서는 execve 시스템 호출을 사용하여 C&C에서 받은 명령으로 /bin/sh를 실행합니다.
다운로드 및 실행된 다음 파일은 Shikata Ga Nai 인코더로 인코딩된 추가 작은 ELF 파일(약 1kB)입니다. 악성코드는 '/bin/sh'를 매개변수로 하여 syscall_execve를 호출하여 실행될 셸 명령어를 복호화한 쉘과 함께 복호화한다. 두 번째 단계 드로퍼는 셸 명령을 해독하고 실행합니다. 실행된 셸 명령은 추가 파일을 다운로드하여 실행합니다. 다음 및 최종 단계 드로퍼를 실행하기 위해 Linux의 두 가지 취약점을 악용하여 권한을 악용합니다: CVE-2021-4034 및 CVE-2021-3493.
최종적으로 그것에 대해 더 알고 싶다면또는 세부 정보를 확인할 수 있습니다. 다음 링크에서.
다시 우리는 바이러스를 다른 유형의 맬웨어(구멍, 트로이 목마)와 혼동합니다.
바이러스는 우리의 명시적인 개입 없이 일종의 자기 복제 시스템을 가지고 있어야 합니다.
많은 기술 용어가 있지만 컴퓨터가 취약점에 감염되어 GNU/Linux가 매일 자체 업데이트한다고 나와 있습니다. 그럼 어떻게 감염되나요? Linux에 바이러스가 없는 것이 아니라 확장자로 파일을 실행하거나 USB 또는 DVD에 삽입하여 프로그램을 실행하는 것과 같은 어리석은 일을 하지 않기 때문에 확산이 훨씬 더 어렵습니다. 컴퓨터에서 Microsoft는 감지된 취약점을 수정하는 데 두 배 이상의 시간이 걸리며, 처음에는 Linux가 불필요한 포트를 모두 닫는 등의 작업을 수행합니다. 사람들이 GNU/리눅스 세계로 가지 않는다는 의구심을 심어주기 위해 만들어진 이런 종류의 뉴스는 우스꽝스럽습니다.
그리고 권장되는 Linux용 바이러스 백신은 무엇입니까?
COMODO AV가 있었지만 데이터베이스 업데이트가 중지되었습니다.