linux编码 新Linux流氓软件具有隐身等多个功能

由于多态编码和多级感染链，Shikitega很难被检测

研究人员本周公布了一种新的Linux恶意软件，该软件以其在感染传统服务器和小型物联网设备方面，具有隐身性和复杂性而闻名。这种恶意软件被AT&T Alien Labs的研究人员命名为Shikitega，它使用多态编码通过多级感染链传播。它还滥用合法的云服务，来托管命令和控制服务器。这些使得探测极其困难。“Threat actors继续寻找新的方式，以新的方式传递恶意软件，避免被发现。Shikitega恶意软件以一种复杂的方式传递，它使用多态编码器linux编码，并逐步传递其有效载荷，其中每一步只揭示总有效载荷的一部分。此外，Shikitega滥用已知的托管服务来托管它的命令和控制服务器。”AT&T Alien Labs 研究员 Ofer Caspi写道。

Shikitega的最终目的尚不清楚。它留下了挖掘Monero加密货币的XMRig软件，因此隐秘的加密劫持是一种可能。但Shikitega还下载并执行了一个名为Mettle的强大Metasploit包，该包包含网络摄像头控制、证书窃取和多个反向shell在内的功能，包可以运行在“从最小的嵌入式Linux到大型服务器”。Mettle的加入留下了一个潜在的可能性——Monero挖矿并不是唯一的功能。主病毒释放器很小——一个只有376字节的可执行文件。

多态编码由Shikata Ga Nai编码器提供，这是一个Metasploit模块，可以很容易地编码Shikitega中包含的shell代码。编码与多级感染链相结合，其中每个链接响应前一个链接的一部分，以下载和执行下一个链接。“使用编码器，恶意软件运行了几个解码循环，其中一个循环解码下一层，直到最终的shell被解码和执行。基于动态指令替换和动态块排序生成编码器stud。寄存器动态选择。”Caspi说。

命令服务器将响应附加的shell命令，以供目标机器执行，Caspi通过抓包发现。蓝色标记的字节是Shikitega将执行的shell命令。

命令和附加文件(如Mettle包)在内存中自动执行，而不保存到磁盘。这使得通过反病毒保护的检测变得更加困难，从而进一步增加了隐形性。

为了最大限度地控制被破坏的设备，Shikitega利用了两个关键的权限升级漏洞，提供了完全的root访问权限。一个名为CVE-2021-4034，俗称PwnKit的漏洞潜伏在Linux内核中长达12年之久，直到今年年初才被发现。另一个漏洞被追踪为CVE-2021-3493，于2021年4月曝光。虽然这两个漏洞都有补丁，但修复程序可能不会广泛安装，特别是在物联网设备上。

该帖子提供了与Shikitega相关的文件hash和域，感兴趣的各方可以使用它们作为中间的指示。考虑到未知的威胁行动者，致力于恶意软件的隐身工作，如果恶意软件潜伏在一些系统中而不被发现，这并不令人惊讶。

-------------------------

U评：

Linux安全；

数字币。

类别：

Security, Enterprise Software, Cryptocurrency, Open Source

（编辑：成都站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!