Новое вредоносное ПО для Linux Shikitega может получить полный контроль над устройствами

 
 

Компания AT&T Alien Labs обнаружила новое вредоносное ПО для Linux, которое можно использовать для атак с высокой степенью уклонения, поскольку заражение рассчитано на стойкость и работает практически на всех типах устройств с Linux.

Личность и цели авторов пока неизвестны, но раскрыты технические подробности. Вредоносное ПО, похоже, использует печально известную уязвимость Pwnkit (CVE-2021-4034), одну из самых простых эксплойтов, которые только можно себе представить, и OverlayFS (CVE-2021-3493), эксплойт ядра, который пентестеры, игроки захвата флага (CTF), и хакеры слишком хорошо знают.

Действительно, два недостатка были исправлены несколько месяцев назад, но многие системы не обновлены и, следовательно, все еще уязвимы.

Исследователи назвали вредоносное ПО «Shikitega». Они не сказали явно, связано ли это с использованием полиморфного кодера XOR с аддитивной обратной связью «Shikata Ga Nai», но это кажется хорошей возможностью.

Многоэтапная цепочка заражения

Атака Shikitega состоит из «многоступенчатой ​​цепочки заражения, в которой каждый модуль отвечает на часть полезной нагрузки, загружает и выполняет следующую», — пишут исследователи AT&T. Злоумышленники могут быстро получить повышенные привилегии, что позволяет им сохранять и запускать криптомайнер.

Shikitega использует законные облачные сервисы для размещения некоторых своих серверов C2 (управления и контроля) и очень легкого дроппера ELF (370B) для запуска следующих этапов. Каждый модуль фокусируется на уникальной задаче, например, на загрузке и выполнении meterpreter Metasploit, повышении привилегий в целевых системах и сохранении постоянства.

Исследователи заявили, что злоумышленники закодировали окончательную полезную нагрузку несколькими уровнями, что потребовало нескольких циклов декодирования перед ее развертыванием, что делает невозможным обнаружение антивирусными решениями на основе сигнатур.

Пять скриптов обеспечивают постоянство

Исследователи обнаружили пять разных скриптов, предназначенных для установки четырех заданий CRON, которые являются повторяющимися задачами, которые вы можете запрограммировать в компьютерной системе. Два из них относятся к текущему пользователю, а остальные относятся к учетной записи root.

Если команда crontab недоступна на машине, что маловероятно для дистрибутива Linux, вредоносное ПО может установить ее и запустить службу. Исследователи предоставили имена и назначение этих скриптов:

  • unix.sh: установить и запустить службу crontab
  • brict.sh: добавляет пользовательский crontab для запуска криптомайнера
  • politrict.sh: добавляет root crontab для запуска криптомайнера
  • truct.sh: добавляет пользователя crontab для загрузки криптомайнера с C&C
  • strict.sh: добавляет корневой crontab для загрузки криптомайнера с C&C

После установки CRON нет необходимости хранить загруженные файлы, поэтому вредоносное ПО удаляет их, чтобы избежать обнаружения.

Киберпреступники используют серверы C2 для развертывания Cryptominer

Shikitega устанавливает XMRig версии 6.17.0 с серверов C2 после достижения устойчивости. Печально известная XMRig добывает криптовалюту Monero, которая, как известно, ориентирована на анонимность, поскольку ее особенно сложно отследить.

Исследователи заметили, что киберпреступники размещали некоторые из своих C2-серверов в законных облачных сервисах, таких как OVH. Эта стратегия кажется компромиссом, поскольку властям гораздо легче блокировать такие сервисы, но она позволяет обойти продукты сетевой безопасности, которые не блокируют законных провайдеров.

Как защититься от шикитеги

Лаборатории AT&T предоставили список IoC (индикаторов компрометации), которые системные администраторы могут использовать для добавления определенных правил в решения безопасности.

Настоятельно рекомендуется использовать расширенные настройки безопасности. Сотрудники должны быть обучены различным методам социальной инженерии и фишинговым атакам, так как это классический вектор, используемый киберпреступниками для развертывания вредоносного ПО.

Даже если вредоносное ПО очень уклончиво, решения безопасности, такие как EDR, могут обнаружить необычные действия, особенно если вы включите поведенческий анализ.

И последнее, но не менее важное: системы должны быть исправлены, что означает, что системные администраторы должны обновлять все устройства, особенно системы Linux, поскольку в 2022 году число вредоносных программ для Linux стремительно растет — еще одна угроза, о которой сообщалось на этой неделе, — это версия бэкдора Windows SideWalk для Linux. Конечно, может быть трудно идти в ногу с циклами выпуска, а обновления могут привести к неприятным регрессиям и ошибкам.

Однако наличие устройств, которыми могут злоупотреблять Pwnkit и OverlayFS, делает вашу систему излишне открытой для широкого круга злоумышленников.

3D-печать5GABC-анализAndroidAppleAppStoreAsusCall-центрCRMDellDNSDrupalFacebookFMCGGoogleHuaweiInstagramiPhoneLinkedInLinuxMagentoMicrosoftNvidiaOpenCartPlayStationPOS материалPPC-специалистRuTubeSamsungSEO-услугиSMMSnapchatSonyStarlinkTikTokTwitterUbuntuUp-saleViasatVPNWhatsAppWindowsWordPressXiaomiYouTubeZoomАвдеевкаАктивные продажиАкцияАлександровск ЛНРАлмазнаяАлчевскАмвросиевкаАнализ конкурентовАнализ продажАнтимерчандайзингАнтрацитАртемовскАртемовск ЛНРАссортиментная политикаБелгородБелицкоеБелозерскоеБердянскБизнес-идеи (стартапы)БрендБрянкаБукингВахрушевоВендорВикипедияВирусная рекламаВирусный маркетингВладивостокВнутренние продажиВнутренний маркетингВолгоградВолновахаВоронежГорловкаГорнякГорскоеДебальцевоДебиторкаДебиторская задолженностьДезинтермедитацияДзержинскДивизионная система управленияДизайнДимитровДирект-маркетингДисконтДистрибьюторДистрибьюцияДобропольеДокучаевскДоменДружковкаЕкатеринбургЕнакиевоЖдановкаЗапорожьеЗимогорьеЗолотоеЗоринскЗугрэсИжевскИловайскИрминоКазаньКалининградКировскКировскоеКомсомольскоеКонстантиновкаКонтент-маркетингКонтент-планКопирайтингКраматорскКрасноармейскКрасногоровкаКраснодарКраснодонКраснопартизанскКрасный ЛиманКрасный ЛучКременнаяКураховоКурскЛисичанскЛуганскЛутугиноМакеевкаМариупольМаркетингМаркетинговая информацияМаркетинговые исследованияМаркетинговый каналМаркетинг услугМаркетологМарьинкаМедиаМелекиноМелитопольМенеджментМерчандайзерМерчандайзингМиусинскМолодогвардейскМоскваМоспиноНижний НовгородНиколаевНиколаевкаНишевой маркетингНовоазовскНовогродовкаНоводружескНовосибирскНумерическая дистрибьюцияОдессаОмскОтдел маркетингаПартизанский маркетингПервомайскПеревальскПетровскоеПопаснаяПравило ПаретоПривольеПрогнозирование продажПродвижение сайтов в ДонецкеПромоПромоушнПрямой маркетингРабота для маркетологаРабота для студентаРазработка приложенийРаспродажаРегиональные продажиРекламаРеклама на асфальтеРемаркетингРетро-бонусРибейтРитейлРовенькиРодинскоеРостов-на-ДонуРубежноеСамараСанкт-ПетербургСаратовСватовоСвердловскСветлодарскСвятогорскСевастопольСеверодонецкСеверскСедовоСейлз промоушнСелидовоСимферопольСинергияСколковоСлавянскСнежноеСоздание сайтов в ДонецкеСоледарСоциальные сетиСочиСтаробельскСтаробешевоСтахановСтимулирование сбытаСуходольскСчастьеТелемаркетингТельмановоТираспольТорговый представительТорезТрейд маркетингТрейд промоушнТюменьУглегорскУгледарУкраинскХабаровскХарцызскХерсонХостингЦелевая аудиторияЧасов ЯрЧелябинскШахтерскЮжно-СахалинскЮнокоммунаровскЯндексЯсиноватая