استقرار بدافزار Shikitega در ماینرهای ارز دیجیتال
AT&T Alien یک بدافزار جدید لینوکس با نام Shikitega، رایانهها و دستگاههای IoT (اینترنت اشیا) را با بارهای متعدد آلوده میکند. بدافزار مخفی از نقایص امنیتی استفاده میکند تا امتیازات را افزایش دهد و پایداری را ایجاد کند. پس از اینکه مهاجم سیستم را کنترل کرد، یک ماینر ارز دیجیتال مستقر میشود.
به گزارش پایگاه خبری بانکداری الکترونیک ،همانطور که توسط AT&T Alien Labs اشاره شده است، بدافزار Shikitega مستلزم یک زنجیره عفونت چندمرحلهای است. برای تشویق فعالسازی ماژول، چند صد بایت در هر لایه ارائه میکند. هر ماژول به قسمت متفاوتی از محموله پاسخ میدهد و پس از آن قسمت بعدی اجرا میشود.
این بدافزار به مهاجمان اجازه میدهد تا سیستم را به طور کامل کنترل کنند و رمزنگاریها را اجرا کنند. هر ماژول وظیفه خاصی دارد، مانند دانلود/اجرای متر پرتر Metasploit، تنظیم پایداری در دستگاه آلوده، بهرهبرداری از نقصهای لینوکس، و دانلود/اجرای cryptominer.
روش دستیابی به مصالحه اولیه هنوز ناشناخته است. اولین لایه آلوده یک فایل ELF 370 بایتی است که حاوی کد پوسته کدگذاری شده است. پس از تکمیل رمزگشایی، بار نهایی Mettle با قابلیت اجرای کد و کنترل از راه دور از طریق “int 0x80” اجرا میشود که به اجرای syscall مناسب کمک میکند.
پس از آن، سایر دستورات دریافتی از سرور C2 خود را با فراخوانی 102 syscall دانلود و اجرا میکند. دستورات در هارددیسک ذخیره نمیشوند؛ بلکه از حافظه اجرا میشوند. Mettle یک فایل ELF کوچکتر را بازیابی میکند که cryptominer را دانلود و اجرا میکند.
بدافزار مخفی لینوکس Shikitega در حال استقرار Monero Cryptominer
فرایند عملیات Shikitega
علاوه بر این، Shikitega از یک رمزگذار بازخورد افزودنی XOR چند شکلی به نام Shikata Ga Nai استفاده میکند. قبلاً توسط محققان مورد بررسی قرار گرفته بود و گزارش دادند که هر کد پوسته کدگذاری شدهای که ایجاد میکند با بقیه متفاوت است؛ زیرا از چندین تکنیک مانند ترتیب بلوک پویا، جایگزینی دستورالعمل پویا و تصادفی سازی فاصله دستورالعمل بین دستورالعملها استفاده میکند.
در این کمپین، از این رمزگذار برای شناسایی پیچیده توسط موتورهای آنتیویروس و بهرهبرداری از خدمات ابری استفاده میشود. بدافزار Shiketega به روشی پیچیده ارائه میشود، از یک رمزگذار چند شکلی استفاده میکند و بهتدریج محموله خود را تحویل میدهد که در هر مرحله تنها بخشی از بار کل را نشان میدهد.
Shikitega یک بدافزار فراری است؛ زیرا میتواند بارهای مرحله بعدی را از سرور C2 دانلود کرده و مستقیماً آنها را در حافظه اجرا کند. از طریق استفاده از PwnKit یا CVE-2021-4034 و CVE-2021-3493 به افزایش امتیاز دست مییابد. مهاجم میتواند بهراحتی از مجوزهای بالا برای واکشی اسکریپتهای پوسته کد مرحله نهایی با امتیازات ریشه و استقرار Monero cryptominer سوءاستفاده کند.
منبع: پلیس فتا
انتهای پیام/