Shikitega olarak bilinen yeni bir gizli Linux kötü amaçlı yazılımının, bilgisayarlara ve IoT cihazlarına ek yüklerle bulaştığı keşfedildi.
Kötü amaçlı yazılım, ayrıcalıklarını yükseltmek için güvenlik açıklarından yararlanır, crontab aracılığıyla ana bilgisayarda kalıcılık sağlar ve sonunda virüslü cihazlarda bir kripto para madenciliği başlatır.
Shikitega oldukça gizlidir ve statik, imza tabanlı algılamayı imkansız hale getiren polimorfik bir kodlayıcı kullanarak anti-virüs algılamasından kaçmayı başarır.
Karmaşık bir enfeksiyon zinciri
İlk bulaşma yöntemi şu anda bilinmemekle birlikte, Shikitega’yı keşfeden AT&T’deki araştırmacılar, kötü amaçlı yazılımın, her katmanın yalnızca birkaç yüz bayt teslim ettiği, basit bir modülü etkinleştirdiği ve ardından bir sonrakine geçtiği çok adımlı bir enfeksiyon zinciri kullandığını söylüyor.
“Shiketega kötü amaçlı yazılımı sofistike bir şekilde teslim edilir, polimorfik bir kodlayıcı kullanır ve her adımın toplam yükün yalnızca bir kısmını ortaya çıkardığı yükünü kademeli olarak iletir.” AT&T’nin raporu.
Enfeksiyon, kodlanmış kabuk kodunu içeren damlalık olan 370 baytlık bir ELF dosyasıyla başlar.
Kodlama, daha önce tarafından analiz edilen polimorfik XOS katkılı geri besleme kodlayıcı ‘Shikata Ga Nai’ kullanılarak gerçekleştirilir. Mandiant.
“Kötü amaçlı yazılım, kodlayıcıyı kullanarak, bir döngünün sonraki katmanın kodunu çözdüğü ve son kabuk kodu yükünün kodu çözülüp yürütülene kadar birkaç kod çözme döngüsünden geçer” diye devam ediyor rapor.
“Kodlayıcı saplaması, dinamik komut ikamesi ve dinamik blok sıralamasına göre oluşturulur. Ayrıca kayıtlar dinamik olarak seçilir.”
Şifre çözme tamamlandıktan sonra, kötü amaçlı yazılımın komut ve kontrol sunucularıyla (C2) iletişim kurmak ve depolanan ve doğrudan bellekten çalıştırılan ek kabuk kodunu (komutları) almak için kabuk kodu yürütülür.
Bu komutlardan biri indirilir ve yürütülür ‘cesaret,’ saldırganlara ana bilgisayar üzerinde daha fazla uzaktan kontrol ve kod yürütme seçeneği sunan küçük ve taşınabilir bir Metasploit Meterpreter yükü.
Mettle, daha küçük bir ELF dosyası getiriyor. CVE-2021-4034 (aka PwnKit) ve CVE-2021-3493, ayrıcalıkları yükseltmek ve bir kripto para madenciliği olan son aşama yükünü kök olarak indirmek için.
Kripto madencisinin kalıcılığı, ikisi kök kullanıcı için ve ikisi mevcut kullanıcı için olmak üzere dört cronjob ekleyen beş kabuk komut dosyası indirilerek elde edilir.
Crontab’lar etkili bir kalıcılık mekanizmasıdır, bu nedenle kötü amaçlı yazılımın keşfedilme olasılığını azaltmak için indirilen tüm dosyalar silinir.
Kripto madenciliği, anonimlik odaklı ve izlenmesi zor Monero madenciliğine odaklanan XMRig 6.17.0 sürümüdür.
Ağ güvenliği ürünlerinde alarm verme olasılığını daha da azaltmak için Shikitega’nın arkasındaki tehdit aktörleri, komuta ve kontrol altyapılarını barındırmak için meşru bulut barındırma hizmetlerini kullanır.
Bu seçim daha fazla paraya mal olur ve operatörleri kolluk kuvvetleri tarafından izlenme ve tespit edilme riskine sokar, ancak güvenliği ihlal edilmiş sistemlerde daha iyi gizlilik sunar.
AT&T ekibi bu yıl Linux kötü amaçlı yazılımlarında keskin bir artış olduğunu bildirerek sistem yöneticilerine mevcut güvenlik güncellemelerini uygulamalarını, tüm uç noktalarda EDR’yi kullanmalarını ve en önemli verilerin düzenli yedeklerini almalarını tavsiye ediyor.
Şimdilik Shikitega, Monero madenciliğine odaklanmış görünüyor, ancak tehdit aktörleri, diğer, daha güçlü yüklerin uzun vadede daha karlı olabileceğine karar verebilir.