Знайдено новий тип шкідливого програмного забезпечення для Linux

12 сентября 2022 г., 12:55

Безопасность

Дослідники з AT&T Alien Labs оприлюднили новий тип шкідливого програмного забезпечення для Linux, який відрізняється своєю скритністю та витонченістю в зараженні як традиційних серверів, так і менших пристроїв Інтернету речей.

Шкідливе ПЗ, яке назвали Shikitega, розповсюджується через багатоступеневий ланцюжок зараження з використанням поліморфного кодування. Він також зловживає легітимними хмарними сервісами для розміщення командно-контрольних серверів. Все це надзвичайно ускладнює його виявлення.

«Зловмисники продовжують шукати нові способи доставки шкідливого програмного забезпечення, щоб залишатися під радаром і уникати виявлення», - написав дослідник AT&T Alien Labs Офер Каспі (Ofer Caspi). - «Шкідливе програмне забезпечення Shikitega доставляється складним способом, воно використовує поліморфний шифратор і поступово доставляє своє корисне навантаження, де кожен крок розкриває лише частину процесу. Крім того, шкідливе програмне забезпечення зловживає відомими хостинговими сервісами для розміщення своїх командних і контрольних серверів».

Кінцева мета шкідливого програмного забезпечення не зовсім зрозуміла. Воно видаляє програмне забезпечення XMRig для видобутку криптовалюти Monero, так що прихований криптоджекінг є однією з можливостей. Але Shikitega також завантажує і виконує потужний пакет Metasploit, відомий як Mettle, який об'єднує різні можливості, включаючи управління веб-камерою, крадіжку облікових даних і кілька зворотних оболонок в пакет, який працює на всьому, від "найменших вбудованих цілей Linux до великого заліза". Включення Mettle залишає відкритим питання, що таємний видобуток Monero не є єдиною функцією.

Сам виконуваний файл дуже малий - він розміром всього 376 байт.

Як повідомляється, поліморфне кодування відбувається завдяки кодеру Shikata Ga Nai. Кодування поєднується з багатоступеневим ланцюжком зараження, в якому кожна ланка реагує на частину попередньої, щоб завантажити та виконати наступну.

«Використовуючи кодер, шкідливе програмне забезпечення проходить через кілька циклів декодування, де один цикл декодує наступний рівень, поки не буде декодовано і виконано кінцеве корисне навантаження шеллкоду», - пояснює Каспі. - «Шифр шифрувальника генерується на основі динамічної підстановки інструкцій та динамічного впорядкування блоків. Крім того, регістри вибираються динамічно».

Для максимального контролю над скомпрометованим пристроєм Shikitega використовує дві критичні вразливості, пов'язані з підвищенням привілеїв, які надають повний root-доступ. Одна помилка, що відстежуєтся як CVE-2021-4034 і відома як PwnKit, причаїлася в ядрі Linux протягом 12 років, поки не була виявлена на початку цього року. Інша вразливість відстежується як CVE-2021-3493 та була виявлена у квітні 2021 року. Хоча обидві вразливості отримали патчі, виправлення не можуть бути широко встановлені, особливо на пристроях IoT.