استقرار بدافزار Shikitega  در ماینرهای ارز دیجیتال

AT&T Alien یک بدافزار جدید لینوکس با نام Shikitega، رایانه‌ها و دستگاه‌های IoT (اینترنت اشیا) را با بارهای متعدد آلوده می‌کند. بدافزار مخفی از نقایص امنیتی استفاده می‌کند تا امتیازات را افزایش دهد و پایداری را ایجاد کند. پس از اینکه مهاجم سیستم را کنترل کرد، یک ماینر ارز دیجیتال مستقر می‌شود.

به گزارش پایگاه خبری بانکداری الکترونیک ،همان‌طور که توسط AT&T Alien Labs اشاره شده است، بدافزار Shikitega مستلزم یک زنجیره عفونت چندمرحله‌ای است. برای تشویق فعال‌سازی ماژول، چند صد بایت در هر لایه ارائه می‌کند. هر ماژول به قسمت متفاوتی از محموله پاسخ می‌دهد و پس از آن قسمت بعدی اجرا می‌شود.

این بدافزار به مهاجمان اجازه می‌دهد تا سیستم را به طور کامل کنترل کنند و رمزنگاری‌ها را اجرا کنند. هر ماژول وظیفه خاصی دارد، مانند دانلود/اجرای متر پرتر Metasploit، تنظیم پایداری در دستگاه آلوده، بهره‌برداری از نقص‌های لینوکس، و دانلود/اجرای cryptominer.

روش دستیابی به مصالحه اولیه هنوز ناشناخته است. اولین لایه آلوده یک فایل ELF 370 بایتی است که حاوی کد پوسته کدگذاری شده است. پس از تکمیل رمزگشایی، بار نهایی Mettle با قابلیت اجرای کد و کنترل از راه دور از طریق “int 0x80” اجرا می‌شود که به اجرای syscall مناسب کمک می‌کند.

پس از آن، سایر دستورات دریافتی از سرور C2 خود را با فراخوانی 102 syscall دانلود و اجرا می‌کند. دستورات در هارددیسک ذخیره نمی‌شوند؛ بلکه از حافظه اجرا می‌شوند. Mettle یک فایل ELF کوچک‌تر را بازیابی می‌کند که cryptominer را دانلود و اجرا می‌کند.

بدافزار مخفی لینوکس Shikitega در حال استقرار Monero Cryptominer

فرایند عملیات Shikitega

علاوه بر این، Shikitega از یک رمزگذار بازخورد افزودنی XOR چند شکلی به نام Shikata Ga Nai استفاده می‌کند. قبلاً توسط محققان مورد بررسی قرار گرفته بود و گزارش دادند که هر کد پوسته کدگذاری شده‌ای که ایجاد می‌کند با بقیه متفاوت است؛ زیرا از چندین تکنیک مانند ترتیب بلوک پویا، جایگزینی دستورالعمل پویا و تصادفی سازی فاصله دستورالعمل بین دستورالعمل‌ها استفاده می‌کند.

در این کمپین، از این رمزگذار برای شناسایی پیچیده توسط موتورهای آنتی‌ویروس و بهره‌برداری از خدمات ابری استفاده می‌شود. بدافزار Shiketega به روشی پیچیده ارائه می‌شود، از یک رمزگذار چند شکلی استفاده می‌کند و به‌تدریج محموله خود را تحویل می‌دهد که در هر مرحله تنها بخشی از بار کل را نشان می‌دهد.

Shikitega یک بدافزار فراری است؛ زیرا می‌تواند بارهای مرحله بعدی را از سرور C2 دانلود کرده و مستقیماً آنها را در حافظه اجرا کند. از طریق استفاده از PwnKit یا CVE-2021-4034 و CVE-2021-3493 به افزایش امتیاز دست می‌یابد. مهاجم می‌تواند به‌راحتی از مجوزهای بالا برای واکشی اسکریپت‌های پوسته کد مرحله نهایی با امتیازات ریشه و استقرار Monero cryptominer سوءاستفاده کند.

منبع: پلیس فتا

انتهای پیام/

لینک کوتاهلینک کپی شد!
ممکن است شما دوست داشته باشید
ارسال یک پاسخ

7  +    =  10