“复杂”的Shikitega恶意软件利用Linux的已知漏洞攻击传播

2022-09-12|

一种隐蔽的新型恶意软件针对Linux系统进行攻击,可以完全控制受感染的设备——它正在使用这种访问权限来安装挖矿木马。

该恶意软件被称为Shikitega,针对运行Linux操作系统的终端和物联网设备,AT&T Alien Labs的网络安全研究人员对此进行了详细分析。

该恶意软件在感染链的多个阶段传递,其每个模块响应来自C2的命令并下载执行下一阶段的有效载荷。

通过一点一点地下载有效载荷——从一个只有几百字节的模块开始——Shikitega可以避免被杀毒软件发现。它还使用多态编码器使其更难检测。

研究人员指出,Shikitega背后的运营团队滥用合法的云服务来托管他们的C2服务器。

最初的感染方法仍然未知,但恶意软件逐渐下载越来越多的模块以提供完整的功能,从最初的dropper开始,然后经历了几个阶段——包括下载Mettle,这是一种Metasploit框架的攻击性工具,它允许攻击者部署更广泛的攻击。

其中包括控制网络摄像头、控制进程、执行shell命令等等。运行shell命令为攻击者提供了进一步利用系统的能力——这似乎是他们目前关注的重点。

该恶意软件会下载并执行利用Linux中漏洞的更多模块,这些模块可用于对受感染系统的持久性控制。

这些漏洞是:

  • CVE-2021-3493,Linux内核中的一个验证问题,允许攻击者获得权限提升;
  • VE-2021-4034,polkit中的一个高严重性内存损坏漏洞,它默认安装在Linux发行版中。


通过利用这些漏洞,恶意软件能够以root权限下载和执行有效载荷,从而完全控制系统。

攻击的最后阶段会下载挖矿木马,攻击者通过挖矿牟利。虽然这似乎是目前攻击的焦点,但Shikitega对系统的控制意味着它可以在未来用于更具破坏性的攻击。

Alien Labs的分析师Ofer Caspi说:“Shikitega恶意软件以复杂的方式交付,使用了多态编码器,每个步骤仅交付有效负载的一部分,以逃避安全软件检测。”

详细技术报告:cybersecurity.att.com


标签: 恶意 攻击者 软件 Shikitega 模块 载荷 攻击 控制 下载 漏洞
出处: https://www.toutiao.com/article/7140870661727601191/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护