已发现一种名为 Shikitega 的新型隐形 Linux 恶意软件,它会通过额外的有效负载感染计算机和物联网设备。
该恶意软件利用漏洞提升其权限,通过 crontab 在主机上添加持久性,并最终在受感染的设备上启动加密货币矿工。
Shikitega 非常隐蔽,使用多态编码器设法逃避反病毒检测,这使得静态、基于签名的检测成为不可能。
错综复杂的感染链
虽然目前尚不清楚最初的感染方法,但发现 Shikitega 的 AT&T 研究人员表示,该恶意软件使用多步感染链,其中每一层仅传递几百字节,激活一个简单模块,然后移动到下一个模块。
“Shiketega 恶意软件以复杂的方式交付,它使用多态编码器,并逐渐交付其有效负载,其中每个步骤仅显示总有效负载的一部分。” AT&T 的报告解释道。
感染始于一个 370 字节的 ELF 文件,该文件是包含编码 shellcode 的释放器。
启动感染链(AT&T)的 ELF 文件
编码是使用Mandiant先前分析的多态 XOS 附加反馈编码器“Shikata Ga Nai”执行的。
“使用编码器,恶意软件会运行几个解码循环,其中一个循环解码下一层,直到最终的 shellcode 有效负载被解码并执行,”报告继续说道。
“编码器 stud 是基于动态指令替换和动态块排序生成的。此外,寄存器是动态选择的。”
Shikata Ga Nai 解密循环 (AT&T)
解密完成后,执行 shellcode 以联系恶意软件的命令和控制服务器(C2),并直接从内存中接收存储和运行的附加 shellcode(命令)。
其中一个命令下载并执行“ Mettle ”,这是一个小型便携式 Metasploit Meterpreter 有效负载,可为攻击者提供进一步的远程控制和主机上的代码执行选项。
下载的 shellcode 获取 Mettle (AT&T)
Mettle 获取了一个更小的 ELF 文件,该文件利用CVE-2021-4034 (又名 PwnKit)和 CVE-2021-3493 来提升权限并以 root 身份下载最后阶段的有效负载,即加密货币矿工。
利用 PwnKit 将权限提升到 root (AT&T)
加密矿工的持久性是通过下载五个 shell 脚本来实现的,这些脚本添加了四个 cronjobs,两个用于 root 用户,两个用于当前用户。
五个 shell 脚本及其功能 (AT&T)
crontab 是一种有效的持久性机制,因此所有下载的文件都会被擦除,以降低恶意软件被发现的可能性。
加密矿工是 XMRig 版本 6.17.0,专注于挖掘以匿名为中心且难以追踪的门罗币。
Shikitega 感染链概述 (AT&T)
为了进一步减少对网络安全产品发出警报的机会,Shikitega 背后的威胁行为者使用合法的云托管服务来托管他们的指挥和控制基础设施。
这种选择会花费更多的钱,并使运营商面临被执法部门追踪和识别的风险,但在受损系统中提供了更好的隐蔽性。
AT&T 团队报告称,今年 Linux 恶意软件急剧增加,建议系统管理员应用可用的安全更新,在所有端点上使用 EDR,并定期备份最重要的数据。
目前,Shikitega 似乎专注于门罗币挖矿,但威胁参与者可能会认为,从长远来看,其他更强大的有效载荷可能会更有利可图。
