09/09/22
Исследователи AT&T обнаружили новое скрытное вредоносное ПО для Linux под названием Shikitega, которое нацелено на компьютеры и IoT - устройства и использует уязвимости повышения привилегий, чтобы запустить майнер криптовалюты Monero на зараженном устройстве.
Shikitega может уклоняться от антивирусного ПО с помощью полиморфного кодировщика, который делает невозможным статическое обнаружение на основе сигнатур.
Согласно отчету AT&T, вредоносное ПО использует многоступенчатую цепочку заражения, в которой каждый уровень доставляет всего несколько сотен байтов, активируя простой модуль, а затем переходит к следующему. То есть Shikitega постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки, поясняет Securitylab.
Заражение начинается с ELF-файла размером 370 байт, содержащий закодированный шелл-код. Кодирование выполняется с использованием схемы кодирования полезной нагрузки Shikata Ga Nai.
Используя кодировщик, вредоносное ПО проходит через несколько циклов декодирования, где один цикл декодирует следующий уровень, пока не будет декодирована и выполнена окончательная полезная нагрузка шелл-кода.
После завершения расшифровки выполняется шелл-код, который связывается с C&C-сервером и получает дополнительные команды, хранящиеся и запускаемые непосредственно из памяти.
Одна команда загружает и выполняет Mettle , небольшую портативную полезную нагрузку Metasploit Meterpreter, которая дает хакеру дополнительные возможности удаленного управления и выполнения кода на хосте.
Mettle извлекает еще меньший ELF-файл, который использует CVE-2021-4034 (PwnKit) и CVE-2021-3493 для повышения привилегий до root-пользователя и загрузки криптомайнера.
Постоянство для криптомайнера достигается путем удаления всех загруженных файлов, чтобы снизить вероятность обнаружения.
.png?width=674&name=content-img(419).png)
Также для избежания обнаружения операторы Shikitega используют законные облачные службы хостинга для размещения своей C&C-инфраструктуры. Это подвергает операторов риску быть обнаруженными правоохранительными органами, но обеспечивает лучшую скрытность в скомпрометированных системах.
Команда AT&T порекомендовала администраторам применять доступные обновления безопасности, использовать EDR на всех конечных точках и регулярно делать резервные копии наиболее важных данных.
