Il nuovo malware Linux elude il rilevamento utilizzando la distribuzione in più fasi
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 7 Settembre 2022
Tags: #malware, #linux, #shikitega
Tags: #malware, #linux, #shikitega
Il nuovo malware Linux elude il rilevamento utilizzando la distribuzione in più fasi
Linux davanti a un temporale
È stato scoperto un nuovo malware nascosto per Linux noto come Shikitega che infetta computer e dispositivi IoT con payload aggiuntivi.
Il malware sfrutta le vulnerabilità per elevare i propri privilegi, aggiunge persistenza sull'host tramite crontab e alla fine lancia un minatore di criptovaluta sui dispositivi infetti.
Shikitega è piuttosto furtivo, riuscendo a eludere il rilevamento antivirus utilizzando un codificatore polimorfico che rende impossibile il rilevamento statico basato su firme.
Un'intricata catena di infezioni
Sebbene il metodo di infezione iniziale non sia noto al momento, i ricercatori di AT&T che hanno scoperto Shikitega affermano che il malware utilizza una catena di infezione a più fasi in cui ogni livello fornisce solo poche centinaia di byte, attivando un modulo semplice e quindi passando a quello successivo.
"Il malware Shiketega viene distribuito in modo sofisticato, utilizza un codificatore polimorfico e distribuisce gradualmente il suo carico utile in cui ogni passaggio rivela solo una parte del carico utile totale", spiega il rapporto di AT&T.
L'infezione inizia con un file ELF di 370 byte, che è il dropper contenente lo shellcode codificato.
La codifica viene eseguita utilizzando l'encoder polimorfico di feedback additivo XOR "Shikata Ga Nai", precedentemente analizzato da Mandiant.
"Utilizzando l'encoder, il malware esegue diversi cicli di decodifica, in cui un ciclo decodifica il livello successivo fino a quando il payload dello shellcode finale non viene decodificato ed eseguito", continua il rapporto.
“Lo stud dell'encoder viene generato in base alla sostituzione dinamica delle istruzioni e all'ordinamento dinamico dei blocchi. Inoltre, i registri vengono selezionati dinamicamente”.
Al termine della decrittazione, lo shellcode viene eseguito per contattare i server di comando e controllo (C2) del malware e ricevere ulteriori shellcode (comandi) archiviati ed eseguiti direttamente dalla memoria.
Uno di questi comandi scarica ed esegue "Mettle", un piccolo e portatile carico utile Metasploit Meterpreter che offre agli aggressori ulteriori opzioni di controllo remoto e di esecuzione del codice sull'host.
Mettle recupera ancora un file ELF più piccolo, che sfrutta CVE-2021-4034 (aka PwnKit) e CVE-2021-3493 per elevare i privilegi e scaricare il payload della fase finale, un minatore di criptovaluta, come root.
La persistenza per il crypto miner si ottiene scaricando cinque script di shell che aggiungono quattro cronjob, due per l'utente root e due per l'utente corrente.
I crontab sono un meccanismo di persistenza efficace, quindi tutti i file scaricati vengono cancellati per ridurre la probabilità che il malware venga scoperto.
Il crypto miner è XMRig versione 6.17.0, incentrato sul mining di Monero, incentrato sull'anonimato e difficile da rintracciare.
Per ridurre ulteriormente le possibilità di lanciare allarmi sui prodotti di sicurezza della rete, gli attori delle minacce dietro Shikitega utilizzano servizi di cloud hosting legittimi per ospitare la loro infrastruttura di comando e controllo.
Questa scelta costa di più e mette gli operatori a rischio di essere rintracciati e identificati dalle forze dell'ordine, ma offre una migliore furtività nei sistemi compromessi.
Il team di AT&T segnala un forte aumento del malware Linux quest'anno, consigliando agli amministratori di sistema di applicare gli aggiornamenti di sicurezza disponibili, utilizzare EDR su tutti gli endpoint ed eseguire backup regolari dei dati più importanti.
Per ora, Shikitega sembra concentrato sul mining di Monero, ma gli attori delle minacce potrebbero decidere che altri payload più potenti possono essere più redditizi a lungo termine.