Shikitega: Perisian Hasad Stealth Baharu yang Menyasarkan Linux

Darkcrizt

Minit 5

Proses Operasi Shikitega Proses Operasi

Shikitega menggunakan rantaian jangkitan berbilang peringkat untuk menjejaskan titik akhir dan peranti IoT

Sehingga baru-baru ini, berbanding dengan Windows, Pengguna Linux mempunyai mitos yang dipercayai ramai, bahawa dalam Linux tiada virus dan ia tidak terdedah kepada serangan.

Walau bagaimanapun, Data baharu menunjukkan bahawa trend dalam serangan siber sedang berubah. Menurut data yang dibentangkan oleh pasukan VPN Atlas, jumlah perisian hasad baharu untuk Linux mencecah paras tertinggi sepanjang masa pada separuh pertama 2022, dengan hampir 1,7 juta sampel ditemui. Penyelidik mendedahkan jenis perisian hasad Linux baharu yang terkenal kerana kesembunyiannya dan kecanggihannya dalam menjangkiti pelayan tradisional dan peranti Internet Perkara yang kecil.

Berbanding tempoh yang sama tahun lepas, apabila 226 sampel ditemui, jumlah perisian hasad Linux baharu melonjak hampir 324%. Melihat kepada bilangan sampel perisian hasad Linux baharu suku ke suku tahun, pada suku pertama tahun ini ia menurun 650% daripada 2 pada suku keempat 872,165 kepada 2021 pada suku pertama 854,688. Pada suku kedua, sampel perisian hasad jatuh sekali lagi, kali ini sebanyak 2022%, kepada 2,5.

Digelar Shikitega oleh penyelidik AT&T Alien Labs yang menemuinya, perisian hasad ini diedarkan melalui rantaian jangkitan beberapa pasos menggunakan pengekodan polimorfik. Ia juga menggunakan perkhidmatan awan yang sah untuk mengehoskan pelayan arahan dan kawalan. Elemen ini menyukarkan pengesanan.

"Pelakon ancaman terus mencari cara baharu untuk menghantar perisian hasad untuk kekal di bawah radar dan mengelakkan pengesanan," tulis penyelidik AT&T Alien Labs Ofer Caspi. “Shikitega malware dihantar dengan cara yang canggih, ia menggunakan pengekod polimorfik dan secara beransur-ansur menyampaikan muatannya di mana setiap langkah hanya mendedahkan sebahagian daripada jumlah muatan. Tambahan pula, perisian hasad menyalahgunakan perkhidmatan pengehosan yang diketahui untuk mengehoskan pelayan arahan dan kawalannya. »

Perisian hasad memuat turun dan menjalankan meterpreter "Mettle" daripada Metasploit untuk memaksimumkan kawalan anda ke atas mesin yang dijangkiti;
shikitega mengeksploitasi kelemahan sistem untuk mendapatkan keistimewaan yang tinggi, teruskan dan jalankan pelombong kripto. Malware menggunakan pengekod polimorfik untuk menjadikannya lebih sukar untuk dikesan oleh enjin antivirus. Shikitega menyalahgunakan perkhidmatan pengkomputeran awan yang sah untuk mengehoskan beberapa pelayan arahan dan kawalannya (C&C).

Ia ialah pelaksanaan kod asli bagi Meterpreter, direka untuk mudah alih, kebolehintegrasian dan penggunaan sumber yang rendah. Ia boleh dijalankan pada sasaran Linux terbenam yang paling kecil hingga paling berkuasa, dan menyasarkan Android, iOS, macOS, Linux dan Windows, tetapi boleh dialihkan ke hampir mana-mana persekitaran yang mematuhi POSIX.

Malware baharu seperti BotenaGo dan EnemyBot menggambarkan cara pengarang perisian hasad menyepadukan dengan pantas kelemahan yang baru ditemui untuk mencari mangsa baharu dan meningkatkan jangkauan mereka. Shikitega menggunakan rantai jangkitan berbilang lapisan, yang pertama mengandungi hanya beberapa ratus bait, dan setiap modul bertanggungjawab untuk tugas tertentu, daripada memuat turun dan menjalankan meterpreter Metasploit, untuk mengeksploitasi kelemahan Linux, untuk mengkonfigurasi kegigihan pada yang dijangkiti mesin sehingga cryptominer dimuat turun dan dilaksanakan.

Malware adalah fail ELF yang sangat kecil, yang jumlah saiznya hanya kira-kira 370 bait, manakala saiz sebenar kod ialah kira-kira 300 bait. Malware menggunakan pengekod XOR polimorfik Maklum balas aditif Shikata Ga Nai, yang merupakan salah satu pengekod paling popular yang digunakan dalam Metasploit. Dengan pengekod ini, perisian hasad melalui berbilang gelung penyahsulitan, di mana satu gelung menyahsulit lapisan seterusnya, sehingga muatan kod shell terakhir dinyahsulit dan dilaksanakan.

Selepas beberapa gelung penyahsulitan, kod shell muatan akhir akan dinyahsulit dan dilaksanakan, memandangkan perisian hasad tidak menggunakan sebarang import, ia menggunakan int 0x80 untuk melaksanakan panggilan sistem yang sesuai. Memandangkan kod utama penitis adalah sangat kecil, perisian hasad akan memuat turun dan melaksanakan arahan tambahan daripada arahan dan kawalannya dengan memanggil 102 syscall ( sys_socketcall ).

  1. C&C akan bertindak balas dengan arahan shell tambahan untuk dilaksanakan.
  2. Bait bertanda pertama ialah perintah shell yang akan dilaksanakan oleh perisian hasad.
  3. Arahan yang diterima akan memuat turun fail tambahan daripada pelayan yang tidak akan disimpan pada cakera keras, tetapi akan dilaksanakan hanya dalam ingatan.
  4. Dalam versi perisian hasad yang lain, ia menggunakan panggilan sistem execve untuk melaksanakan /bin/sh dengan arahan yang diterima daripada C&C.

Fail seterusnya yang dimuat turun dan dilaksanakan ialah fail ELF kecil tambahan (kira-kira 1 kB) yang dikodkan dengan pengekod Shikata Ga Nai. Malware menyahsulit perintah shell untuk dilaksanakan dengan memanggil syscall_execve dengan '/bin/sh' sebagai parameter dengan shell yang dinyahsulit. Penitis peringkat kedua menyahsulit dan melaksanakan arahan shell. Perintah shell yang dilaksanakan akan memuat turun dan melaksanakan fail tambahan. Untuk menjalankan penitis peringkat seterusnya dan terakhir, ia akan mengeksploitasi dua kelemahan dalam Linux untuk mengeksploitasi keistimewaan: CVE-2021-4034 dan CVE-2021-3493.

Akhirnya Jika anda berminat untuk mengetahui lebih lanjut mengenainyaatau, anda boleh menyemak butirannya Dalam pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   Diego reguero kata
    membuat 2 tahun

    Sekali lagi kami mengelirukan virus dengan jenis perisian hasad lain (lubang, Trojan).
    Virus mesti mempunyai beberapa jenis sistem replikasi diri tanpa campur tangan nyata kami.

    Balas Diego Reguero
  2.   Guille kata
    membuat 2 tahun

    Banyak perkataan teknikal tetapi ia mengatakan bahawa komputer dijangkiti kerentanan, GNU/Linux mengemas kini dirinya setiap hari, kerana tidak perlu membayar untuk lesen kerana semua orang mempunyainya sah dan mengemas kini. Jadi bagaimana anda dijangkiti? Dan mari kita serius, bukan Linux tidak mempunyai virus, tetapi ia lebih sukar untuk disebarkan kerana ia tidak melakukan perkara bodoh seperti menjalankan sebarang fail dengan sambungannya, menjalankan program dari USB atau DVD hanya dengan memasukkannya ke dalam komputer, Microsoft mengambil masa lebih daripada dua kali lebih lama untuk membetulkan kelemahan yang dikesan, pada mulanya Linux telah menutup semua port yang tidak perlu, dsb. Berita jenis ini dicipta untuk menimbulkan keraguan dan bahawa orang tidak pergi ke dunia GNU/Linux adalah menggelikan.

    Balas Guille
  3.   Keberangkatan Yehezkiel kata
    membuat 2 tahun

    Dan antivirus apa untuk linux yang disyorkan?

    Saya mempunyai COMODO AV tetapi ia berhenti mengemas kini pangkalan data.

    Balas Ezequiel Partida