Ένα νέο κακόβουλο λογισμικό Linux, γνωστό ως Shikitega, το οποίο μολύνει υπολογιστές και συσκευές IoT με πρόσθετα ωφέλιμα φορτία, ανακαλύφθηκε πρόσφατα από ερευνητές ασφαλείας.
Δείτε επίσης: Αύξηση στις επιθέσεις ransomware που στοχεύουν συσκευές Linux
Εκμεταλλεύεται ευπάθειες για να αυξήσει τα προνόμιά του, προσθέτει επιμονή στον κεντρικό υπολογιστή μέσω του crontab και τελικά εκκινεί έναν crypto miner σε μολυσμένες συσκευές.
Το Shikitega είναι αρκετά δύσκολο να εντοπιστεί, αφού καταφέρνει να αποφύγει την ανίχνευση ιών χρησιμοποιώντας έναν πολυμορφικό κωδικοποιητή που καθιστά αδύνατη τη στατική ανίχνευση βάσει υπογραφών.
Αν και η αρχική μέθοδος μόλυνσης δεν είναι γνωστή αυτή τη στιγμή, οι ερευνητές της AT&T που ανακάλυψαν το Shikitega λένε ότι το κακόβουλο λογισμικό χρησιμοποιεί μια αλυσίδα μόλυνσης πολλαπλών βημάτων όπου κάθε επίπεδο παρέχει μόνο μερικές εκατοντάδες byte, ενεργοποιώντας μια απλή μονάδα και στη συνέχεια μετακινείται στην επόμενη.
Η μόλυνση ξεκινά με ένα αρχείο ELF 370 byte, το οποίο είναι το περιέχει κωδικοποιημένο κέλυφος.
Η κωδικοποίηση πραγματοποιείται χρησιμοποιώντας τον πολυμορφικό κωδικοποιητή ανάδρασης πρόσθετων XOR «Shikata Ga Nai».
«Χρησιμοποιώντας τον κωδικοποιητή, το κακόβουλο λογισμικό διέρχεται από πολλούς βρόχους αποκωδικοποίησης, όπου ο ένας βρόχος αποκωδικοποιεί το επόμενο επίπεδο μέχρι να αποκωδικοποιηθεί και να εκτελεστεί το τελικό ωφέλιμο φορτίο του κελύφους», λέει η αναφορά.
Δείτε ακόμα: Το νέο Linux malware Lightning Framework εγκαθιστά rootkits, backdoors
Μετά την ολοκλήρωση της αποκρυπτογράφησης, ο κώδικας κελύφους εκτελείται για να επικοινωνήσει με τους διακομιστές εντολών και ελέγχου του κακόβουλου λογισμικού (C2) και να λάβει πρόσθετο κώδικα κελύφους (εντολές) που αποθηκεύεται και εκτελείται απευθείας από τη μνήμη.
Μία από αυτές τις εντολές κατεβάζει και εκτελεί το «Mettle», ένα μικρό και φορητό ωφέλιμο φορτίο Metasploit Meterpreter που δίνει στους εισβολείς περαιτέρω επιλογές απομακρυσμένου ελέγχου και εκτέλεσης κώδικα στον κεντρικό υπολογιστή.
Το Mettle φέρνει ακόμα ένα μικρότερο αρχείο ELF, το οποίο εκμεταλλεύεται τα CVE-2021-4034 (γνωστά και ως PwnKit) και CVE-2021-3493 για να αυξήσει τα προνόμια και να κατεβάσει το τελικό στάδιο ωφέλιμου φορτίου, έναν εξόρυξη κρυπτονομισμάτων, ως root.
Η επιμονή για το crypto miner επιτυγχάνεται με τη λήψη πέντε σεναρίων κελύφους που προσθέτουν τέσσερα cronjob, δύο για τον χρήστη root και δύο για τον τρέχοντα χρήστη.
Τα crontabs είναι ένας αποτελεσματικός μηχανισμός επιμονής, επομένως όλα τα ληφθέντα αρχεία διαγράφονται για να μειωθεί η πιθανότητα ανακάλυψης του κακόβουλου λογισμικού.
Το crypto miner είναι το XMRig έκδοση 6.17.0, που εστιάζει στην εξόρυξη του Monero το οποίο εστιάζεται στην ανωνυμία και είναι δύσκολο να εντοπιστεί.
Για να μειωθούν περαιτέρω οι πιθανότητες συναγερμού σε προϊόντα ασφάλειας δικτύου, οι παράγοντες απειλών πίσω από το Shikitega χρησιμοποιούν νόμιμες υπηρεσίες φιλοξενίας cloud για να φιλοξενήσουν την υποδομή διοίκησης και ελέγχου.
Δείτε επίσης: Το Luna ransomware κρυπτογραφεί συστήματα Windows, Linux και ESXi
Αυτή η επιλογή κοστίζει περισσότερα χρήματα και θέτει τους χειριστές σε κίνδυνο εντοπισμού και αναγνώρισης από τις αρχές επιβολής του νόμου, αλλά προσφέρει καλύτερη μυστικότητα στα παραβιασμένα συστήματα.
Προς το παρόν, το Shikitega φαίνεται να επικεντρώνεται στην εξόρυξη Monero, αλλά οι κακόβουλοι παράγοντες μπορεί να αποφασίσουν ότι άλλα, πιο ισχυρά ωφέλιμα φορτία μπορεί να είναι πιο κερδοφόρα μακροπρόθεσμα.
