Shikitega: новая вредоносная программа-невидимка для Linux

До недавнего времени по сравнению с Windows У пользователей Linux был миф, в который многие верили, чтобы в Linux не было вирусов и он не был подвержен атакам.

Тем не менее, Новые данные показывают, что тенденции кибератак меняются. Согласно данным, представленным командой Atlas VPN, количество новых вредоносных программ для Linux достигло рекордного уровня в первой половине 2022 года, когда было обнаружено почти 1,7 миллиона образцов. Исследователи представили новый штамм вредоносного ПО для Linux, известный своей скрытностью и изощренностью в заражении традиционных серверов и небольших устройств Интернета вещей.

По сравнению с тем же периодом прошлого года, когда было обнаружено 226 324 образца, количество новых вредоносных программ для Linux выросло почти на 650%. Если рассматривать количество новых образцов вредоносного ПО для Linux ежеквартально, то в первом квартале этого года оно уменьшилось на 2% с 872,165 2021 в четвертом квартале 854,688 года до 2022 2,5 в первом квартале 833.059 года. снова упал, на этот раз на XNUMX%, до XNUMX XNUMX.

По прозвищу Шикитега исследователями AT&T Alien Labs, обнаружившими его, это вредоносное ПО распространяется по цепочке заражения из нескольких pasos с использованием полиморфного кодирования. Он также использует законные облачные сервисы для размещения серверов управления и контроля. Эти элементы чрезвычайно затрудняют обнаружение.

«Субъекты угроз продолжают искать новые способы доставки вредоносного ПО, чтобы оставаться незамеченными и избегать обнаружения», — пишет исследователь AT&T Alien Labs Офер Каспи. «Вредоносное ПО Shikitega доставляется сложным образом, использует полиморфный кодировщик и постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки. Кроме того, вредоносное ПО злоупотребляет услугами известных хостингов для размещения своих серверов управления и контроля. »

Вредоносная программа загружает и запускает интерпретатор Mettle. из Metasploit для максимального контроля над зараженными машинами;
Шикитега использовать уязвимости системы для получения повышенных привилегий, сохраните и запустите крипто-майнер. Вредоносная программа использует полиморфный кодировщик, чтобы антивирусным программам было сложнее ее обнаружить. Shikitega использует законные службы облачных вычислений для размещения некоторых своих серверов управления и контроля (C&C).

Это собственная реализация кода Meterpreter, предназначенная для переносимости, интеграции и низкого использования ресурсов. Он может работать как с самыми маленькими, так и с самыми мощными встроенными целями Linux и предназначен для Android, iOS, macOS, Linux и Windows, но может быть перенесен практически в любую среду, совместимую с POSIX.

Новые вредоносные программы, такие как BotenaGo и EnemyBot, иллюстрируют, как авторы вредоносных программ быстро интегрируют недавно обнаруженные уязвимости, чтобы найти новых жертв и расширить их охват. Shikitega использует многоуровневую цепочку заражения, первая из которых содержит всего несколько сотен байт, а каждый модуль отвечает за конкретную задачу, от загрузки и запуска интерпретатора Metasploit, до эксплуатации уязвимостей Linux, до настройки персистентности на зараженном до тех пор, пока криптомайнер не будет загружен и запущен.

Вредоносное ПО представляет собой очень маленький файл ELF., общий размер которого составляет всего около 370 байт, в то время как фактический размер кода составляет около 300 байт.. Вредонос использует полиморфный кодировщик XOR. Аддитивная обратная связь Shikata Ga Nai — один из самых популярных кодировщиков, используемых в Metasploit. С помощью этого кодировщика вредоносное ПО проходит через несколько циклов дешифрования, где один цикл расшифровывает следующий уровень, пока не будет расшифрована и выполнена последняя полезная нагрузка шелл-кода.

После нескольких циклов расшифровки окончательный шеллкод полезной нагрузки будет расшифрован и выполнен, так как малварь не использует никакого импорта, она использует int 0x80 для выполнения соответствующего системного вызова. Поскольку основной код дроппера очень мал, вредоносное ПО будет загружать и выполнять дополнительные команды из своей команды и управления, вызывая системный вызов 102 ( sys_socketcall ).

1. C&C ответит дополнительными командами оболочки для выполнения.
2. Первые отмеченные байты — это команды оболочки, которые будет выполнять вредоносное ПО.
3. Полученная команда загрузит с сервера дополнительные файлы, которые не будут храниться на жестком диске, а будут выполняться только в памяти.
4. В других версиях зловреда он использует системный вызов execve для выполнения /bin/sh команды, полученной от C&C.

Следующий загружаемый и выполняемый файл — это дополнительный небольшой файл ELF (около 1 КБ), закодированный кодировщиком Shikata Ga Nai. Вредоносное ПО расшифровывает команду оболочки, которая должна быть выполнена, вызывая syscall_execve с «/bin/sh» в качестве параметра с расшифрованной оболочкой. Дроппер второго этапа расшифровывает и выполняет команды оболочки. Выполненная команда оболочки загрузит и выполнит дополнительные файлы. Чтобы запустить дроппер следующего и последнего этапа, он будет использовать две уязвимости в Linux для использования привилегий: CVE-2021-4034 и CVE-2021-3493.

В конце концов Если вам интересно узнать об этом большеили, вы можете проверить детали По следующей ссылке.