На Linux тестируют новое вредоносное ПО с интересными возможностями

Исследователи AT&T обнаружили новое скрытное вредоносное ПО для Linux под названием Shikitega, которое нацелено на компьютеры и IoT - устройства и использует уязвимости повышения привилегий, чтобы запустить майнер криптовалюты Monero на зараженном устройстве.

Shikitega может уклоняться от антивирусного ПО с помощью полиморфного кодировщика, который делает невозможным статическое обнаружение на основе сигнатур.

Согласно отчету AT&T, вредоносное ПО использует многоступенчатую цепочку заражения, в которой каждый уровень доставляет всего несколько сотен байтов, активируя простой модуль, а затем переходит к следующему. То есть Shikitega постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки

Заражение начинается с ELF-файла размером 370 байт, содержащий закодированный шелл-код. Кодирование выполняется с использованием схемы кодирования полезной нагрузки Shikata Ga Nai .

Используя кодировщик, вредоносное ПО проходит через несколько циклов декодирования, где один цикл декодирует следующий уровень, пока не будет декодирована и выполнена окончательная полезная нагрузка шелл-кода.

После завершения расшифровки выполняется шелл-код, который связывается с C&C-сервером и получает дополнительные команды, хранящиеся и запускаемые непосредственно из памяти.

Одна команда загружает и выполняет Mettle , небольшую портативную полезную нагрузку Metasploit Meterpreter, которая дает хакеру дополнительные возможности удаленного управления и выполнения кода на хосте.

Mettle извлекает еще меньший ELF-файл, который использует CVE-2021-4034 (PwnKit) и CVE-2021-3493 для повышения привилегий до root-пользователя и загрузки криптомайнера

Постоянство для криптомайнера достигается путем удаления всех загруженных файлов, чтобы снизить вероятность обнаружения.

Цепочка заражения Shikitega

Также для избежания обнаружения операторы Shikitega используют законные облачные службы хостинга для размещения своей C&C-инфраструктуры. Это подвергает операторов риску быть обнаруженными правоохранительными органами, но обеспечивает лучшую скрытность в скомпрометированных системах.

Команда AT&T порекомендовала администраторам применять доступные обновления безопасности, использовать EDR на всех конечных точках и регулярно делать резервные копии наиболее важных данных.