Shikitega: nowe złośliwe oprogramowanie Stealth atakujące Linuksa

Do niedawna, w porównaniu do Windows, Użytkownicy Linuksa mieli mit, w który wielu wierzyło, że w Linuksie nie było wirusów i nie był podatny na ataki.

Jednak Nowe dane pokazują, że zmieniają się trendy w cyberatakach. Według danych przedstawionych przez zespół Atlas VPN, ilość nowego złośliwego oprogramowania dla Linuksa osiągnęła rekordowy poziom w pierwszej połowie 2022 r., kiedy wykryto prawie 1,7 miliona próbek. Badacze ujawnili nową odmianę szkodliwego oprogramowania dla Linuksa, znanego z ukrywania się i wyrafinowania w infekowaniu tradycyjnych serwerów i małych urządzeń Internetu Rzeczy.

W porównaniu do tego samego okresu w zeszłym roku, kiedy odkryto 226 324 próbki, ilość nowego szkodliwego oprogramowania dla Linuksa wzrosła o prawie 650%. Biorąc pod uwagę liczbę nowych próbek złośliwego oprogramowania dla systemu Linux kwartał do kwartału, w pierwszym kwartale tego roku zmniejszyła się ona o 2% z 872,165 2021 w czwartym kwartale 854,688 r. do 2022 2,5 w pierwszym kwartale 833.059 r. W drugim kwartale liczba ponownie spadł, tym razem o XNUMX%, do XNUMX XNUMX.

Nazywany Shikitega przez badaczy AT&T Alien Labs, którzy to odkryli, to złośliwe oprogramowanie jest rozpowszechniane za pośrednictwem łańcucha infekcji składającego się z kilku pasos przy użyciu kodowania polimorficznego. Wykorzystuje również legalne usługi w chmurze do hostowania serwerów dowodzenia i kontroli. Te elementy sprawiają, że wykrycie jest niezwykle trudne.

„Podmioty zajmujące się zagrożeniami nadal szukają nowych sposobów dostarczania złośliwego oprogramowania, aby pozostać poza zasięgiem radaru i uniknąć wykrycia” – napisał badacz AT&T Alien Labs, Ofer Caspi. „Złośliwe oprogramowanie Shikitega jest dostarczane w wyrafinowany sposób, wykorzystuje polimorficzny koder i stopniowo dostarcza swój ładunek, gdzie każdy krok ujawnia tylko część całkowitego ładunku. Ponadto złośliwe oprogramowanie wykorzystuje znane usługi hostingowe do hostowania swoich serwerów dowodzenia i kontroli. »

Złośliwe oprogramowanie pobiera i uruchamia meterpreter „Mettle” z Metasploit, aby zmaksymalizować kontrolę nad zainfekowanymi maszynami;
shikitega wykorzystywać luki w systemie w celu uzyskania podwyższonych uprawnień, utrzymuj i uruchom krypto-minera. Szkodnik wykorzystuje polimorficzny koder, aby utrudnić wykrycie przez silniki antywirusowe. Shikitega wykorzystuje legalne usługi przetwarzania w chmurze do hostowania niektórych swoich serwerów dowodzenia i kontroli (C&C).

Jest to natywna implementacja kodu Meterpretera, zaprojektowana z myślą o przenośności, integrowalności i niskim zużyciu zasobów. Może działać od najmniejszych do najpotężniejszych wbudowanych podsystemów Linux i jest przeznaczony dla systemów Android, iOS, macOS, Linux i Windows, ale może być przeniesiony do prawie każdego środowiska zgodnego z POSIX.

Nowe złośliwe oprogramowanie, takie jak BotenaGo i EnemyBot, ilustruje, w jaki sposób autorzy złośliwego oprogramowania szybko integrują nowo odkryte luki w zabezpieczeniach, aby znaleźć nowe ofiary i zwiększyć ich zasięg. Shikitega wykorzystuje wielowarstwowy łańcuch infekcji, z których pierwszy zawiera tylko kilkaset bajtów, a każdy moduł odpowiada za określone zadanie, od pobrania i uruchomienia meterpretera Metasploit, poprzez wykorzystanie luk w Linuksie, aż po konfigurację trwałości na zainfekowanych maszynie do momentu pobrania i wykonania kryptokoparki.

Malware to bardzo mały plik ELF, którego całkowity rozmiar to tylko około 370 bajtów, podczas gdy rzeczywisty rozmiar kodu to około 300 bajtów. Szkodnik wykorzystuje polimorficzny koder XOR Dodatek sprzężenia zwrotnego Shikata Ga Nai, który jest jednym z najpopularniejszych koderów używanych w Metasploit. Dzięki temu koderowi złośliwe oprogramowanie przechodzi przez wiele pętli deszyfrowania, gdzie jedna pętla odszyfrowuje następną warstwę, aż do odszyfrowania i wykonania końcowego ładunku kodu powłoki.

Po kilku pętlach deszyfrowania ostateczny szelkod ładunku zostanie odszyfrowany i wykonany, ponieważ złośliwe oprogramowanie nie korzysta z żadnego importu, używa int 0x80 do wykonania odpowiedniego wywołania systemowego. Ponieważ główny kod droppera jest bardzo mały, szkodliwe oprogramowanie pobierze i wykona dodatkowe polecenia ze swojego polecenia i kontroli, wywołując 102 syscall ( sys_socketcall ).

1. C&C odpowie dodatkowymi poleceniami powłoki do wykonania.
2. Pierwsze oznaczone bajty to polecenia powłoki, które wykona złośliwe oprogramowanie.
3. Otrzymane polecenie pobierze z serwera dodatkowe pliki, które nie zostaną zapisane na dysku twardym, a zostaną wykonane tylko w pamięci.
4. W innych wersjach złośliwego oprogramowania wykorzystuje wywołanie systemowe execve do wykonania /bin/sh za pomocą polecenia otrzymanego z C&C.

Następny pobrany i wykonany plik to dodatkowy mały plik ELF (około 1 kB) zakodowany koderem Shikata Ga Nai. Malware odszyfrowuje polecenie powłoki, które ma zostać wykonane, wywołując syscall_execve z „/bin/sh” jako parametrem odszyfrowanej powłoki. Dropper drugiego stopnia odszyfrowuje i wykonuje polecenia powłoki. Wykonane polecenie powłoki pobierze i uruchomi dodatkowe pliki. Aby uruchomić dropper następnego i ostatniego etapu, wykorzysta on dwie luki w Linuksie, aby wykorzystać przywileje: CVE-2021-4034 i CVE-2021-3493.

W końcu Jeśli chcesz dowiedzieć się więcej na ten tematlub możesz sprawdzić szczegóły W poniższym linku.