Bu hafta araştırmacılar, hem geleneksel sunuculara hem de daha küçük nesnelerin İnterneti cihazlarına bulaşmadaki gizliliği ve karmaşıklığı ile dikkat çeken yeni bir Linux kötü amaçlı yazılım türünü açıkladılar.
Onu keşfeden AT&T Alien Labs araştırmacıları tarafından Shikitega olarak adlandırılan kötü amaçlı yazılım, polimorfik kodlama kullanılarak çok aşamalı bir enfeksiyon zinciri aracılığıyla teslim edilir. Ayrıca, komuta ve kontrol sunucularını barındırmak için meşru bulut hizmetlerini kötüye kullanır. Bu şeyler algılamayı son derece zorlaştırır.
AT&T Alien Labs araştırmacısı Ofer Caspi, “Tehdit aktörleri, radarın altında kalmak ve tespit edilmekten kaçınmak için yeni yollarla kötü amaçlı yazılım sunmanın yollarını aramaya devam ediyor.” “Shikitega kötü amaçlı yazılımı sofistike bir şekilde teslim edilir, polimorfik bir kodlayıcı kullanır ve her adımın toplam yükün yalnızca bir kısmını ortaya çıkardığı yükünü kademeli olarak iletir. Ek olarak, kötü amaçlı yazılım, komuta ve kontrol sunucularını barındırmak için bilinen barındırma hizmetlerini kötüye kullanır. “
Kötü amaçlı yazılımın nihai amacı net değil. Monero kripto para madenciliği için XMRig yazılımını düşürür, bu nedenle gizli kripto hırsızlığı bir olasılıktır. Ancak Shikitega ayrıca, web kamerası kontrolü, kimlik bilgisi çalma ve çoklu ters kabuklar gibi yetenekleri “en küçük gömülü Linux hedeflerinden büyük demire” kadar her şey üzerinde çalışan bir pakette bir araya getiren Mettle olarak bilinen güçlü bir Metasploit paketini indirir ve yürütür. Mettle’ın katılımı, gizli Monero madenciliğinin tek işlev olmadığı potansiyelini açık bırakıyor.
Ana damlalık küçüktür; yalnızca 376 baytlık yürütülebilir bir dosyadır.
Polimorfik kodlama, Shikitega yüklerinde teslim edilen kabuk kodunun kodlanmasını kolaylaştıran bir Metasploit modülü olan Shikata Ga Nai kodlayıcı sayesinde gerçekleşir. Kodlama, her bağlantının bir sonrakini indirmek ve yürütmek için bir öncekinin bir parçasına yanıt verdiği çok aşamalı bir enfeksiyon zinciri ile birleştirilir.
Caspi, “Kodlayıcıyı kullanarak, kötü amaçlı yazılım, bir döngünün sonraki katmanın kodunu çözdüğü, son kabuk kodu yükünün kodu çözülene ve yürütülene kadar birkaç kod çözme döngüsünden geçer.” “Kodlayıcı saplaması, dinamik komut ikamesi ve dinamik blok sıralamasına göre oluşturulur. Ek olarak, kayıtlar dinamik olarak seçilir.”
Caspi’nin aşağıda gösterilen paket yakalamada belgelediği gibi, bir komut sunucusu, hedeflenen makinenin yürütmesi için ek kabuk komutlarıyla yanıt verecektir. Mavi ile işaretlenmiş baytlar, Shikitega’nın yürüteceği kabuk komutlarıdır.
Mettle paketi gibi komutlar ve ek dosyalar diske kaydedilmeden otomatik olarak bellekte yürütülür. Bu, antivirüs koruması yoluyla algılamayı zorlaştırarak daha fazla gizlilik sağlar.
Güvenliği ihlal edilmiş cihaz üzerindeki kontrolünü en üst düzeye çıkarmak için Shikitega, tam kök erişimi sağlayan iki kritik ayrıcalık yükseltme güvenlik açığından yararlanır. CVE-2021-4034 olarak izlenen ve halk arasında PwnKit olarak bilinen bir hata, bu yılın başlarında keşfedilene kadar 12 yıl boyunca Linux çekirdeğinde gizlendi. Diğer güvenlik açığı CVE-2021-3493 olarak izleniyor ve Nisan 2021’de gün yüzüne çıktı. Her iki güvenlik açığı da yamalar almış olsa da, düzeltmeler özellikle IoT cihazlarında yaygın olarak yüklenmeyebilir.
Gönderi, ilgili tarafların bir uzlaşma göstergesi olarak kullanabileceği Shikitega ile ilişkili dosya karmaları ve etki alanları sağlar. Sorumlu bilinmeyen tehdit aktörlerinin kötü amaçlı yazılımın gizliliğine adadığı çalışma göz önüne alındığında, kötü amaçlı yazılımın bazı sistemlerde tespit edilmeden gizlenmesi şaşırtıcı olmaz.