Shikitega olarak bilinen yeni bir gizli Linux kötü amaçlı yazılım, bilgisayarları ve IoT cihazlarını ek yüklerle bulaşan keşfedildi.
Kötü amaçlı yazılım, ayrıcalıklarını yükseltmek için güvenlik açıklarından yararlanır, CRONTAB yoluyla ana bilgisayarda kalıcılık ekler ve sonunda enfekte cihazlarda bir kripto para madencisi başlatır.
Shikitega oldukça gizlidir, statik, imza tabanlı tespiti imkansız hale getiren bir polimorfik kodlayıcı kullanarak anti-virüs tespitinden kaçınmayı başarır.
İlk enfeksiyon yöntemi şu anda bilinmese de, Shikitega'yı keşfeden AT&T'deki araştırmacılar, kötü amaçlı yazılımın her katmanın sadece birkaç yüz bayt sağladığı, basit bir modüle hareket ettiği ve daha sonra bir sonrakine geçtiği çok aşamalı bir enfeksiyon zinciri kullandığını söylüyor.
AT & T’nin raporu, "Shiketega kötü amaçlı yazılım sofistike bir şekilde teslim ediliyor, polimorfik bir kodlayıcı kullanıyor ve her adımın toplam yükün yalnızca bir kısmını ortaya çıkardığı yükünü yavaş yavaş sunuyor."
Enfeksiyon, kodlanmış kabuk kodunu içeren damlalık olan 370 bayt elf dosyası ile başlar.
Kodlama, daha önce Mantiant tarafından analiz edilen 'Shikata Ga Nai' Polimorfik XOR ilave geri bildirim kodlayıcısı 'Shikata Ga Nai' kullanılarak gerçekleştirilir.
Raporda, “Enkoder kullanarak, kötü amaçlı yazılım birkaç kod çözme döngüsünden geçiyor, burada bir döngü son kabuk kodu yükü çözülüp yürütülene kadar bir sonraki katmanı kodladı”.
“Kodlayıcı saplaması, dinamik öğretim ikamesi ve dinamik blok sıralamasına göre üretilir. Ayrıca, kayıtlar dinamik olarak seçilir. ”
Şifre çözüldükten sonra, kabuk kodu kötü amaçlı yazılım komut ve kontrol sunucuları (C2) ile temasa geçmek ve doğrudan bellekten depolanan ve çalıştırılan ek kabuk kodu (komutlar) almak için yürütülür.
Bu komutlardan biri, saldırganlara ana bilgisayarda daha fazla uzaktan kumanda ve kod yürütme seçenekleri sunan küçük ve taşınabilir bir Metasploit Metasploit MeterPreter yükünü indirir ve yürütür.
Mettle getirir, CVE-2021-4034'ten (pwnkit) ve CVE-2021-3493'ü sömürmek ve ayrıcalıkları yükseltmek ve son aşama yükünü, bir kripto para madencisi olan son aşama yükünü indirmek için daha küçük bir ELF dosyasını getirir.
Kripto madencisi için kalıcılık, ikisi kök kullanıcı için ve mevcut kullanıcı için ikisi olmak üzere dört cronjobs ekleyen beş kabuk komut dosyası indirilerek elde edilir.
CRONTAB'lar etkili bir kalıcılık mekanizmasıdır, bu nedenle indirilen tüm dosyalar keşfedilme olasılığını azaltmak için silinir.
Kripto madencisi, anonimlik odaklı ve izlemesi zor Monero madenciliğine odaklanan XMRIG sürüm 6.17.0'dır.
Ağ güvenlik ürünleri üzerinde alarm verme şansını daha da azaltmak için, Shikitega'nın arkasındaki tehdit aktörleri, komuta ve kontrol altyapılarını barındırmak için meşru bulut barındırma hizmetlerini kullanıyor.
Bu seçim daha fazla paraya mal oluyor ve operatörleri kolluk kuvvetleri tarafından izlenme ve tanımlanma riski taşıyor, ancak tehlikeye atılan sistemlerde daha iyi gizlilik sunuyor.
AT&T ekibi, bu yıl Linux kötü amaçlı yazılımlarda keskin bir artış olduğunu ve sistem yöneticilerinin mevcut güvenlik güncellemelerini uygulamalarını, tüm uç noktalarda EDR'yi kullanmalarını ve en önemli verilerin düzenli yedeklerini almalarını bildiriyor.
Şimdilik, Shikitega Monero madenciliğine odaklanmış gibi görünüyor, ancak tehdit aktörleri diğer, daha güçlü yüklerin uzun vadede daha karlı olabileceğine karar verebilir.
Info-Renting kötü amaçlı yazılımları zorlamak için kullanılan sahte 'Cthulhu World' P2E projesi
Windows kötü amaçlı yazılım, algılamadan kaçmak için Coinminer'ın bir aya kadar kurulumunu geciktirir
241 npm ve pypi paketleri Linux kriptominerleri düşürerek yakalandı
Monero Hard Fork, bilgisayar korsanlarının favori parasını daha da özel hale getirir
Çinli hackerlar yeni Linux, macOS kötü amaçlı yazılım ile backdoor sohbet uygulaması
Kaynak: Bleeping Computer