Malware Linux baru menggabungkan siluman yang tidak biasa dengan rangkaian kemampuan yang lengkap

Para peneliti minggu ini meluncurkan jenis baru malware Linux yang terkenal karena siluman dan kecanggihannya dalam menginfeksi server tradisional dan perangkat Internet-of-things yang lebih kecil.

Dijuluki Shikitega oleh peneliti AT&T Alien Labs yang menemukannya, malware tersebut dikirimkan melalui rantai infeksi bertingkat menggunakan pengkodean polimorfik. Itu juga menyalahgunakan layanan cloud yang sah untuk meng-host server perintah-dan-kontrol. Hal-hal ini membuat deteksi menjadi sangat sulit.

“Aktor ancaman terus mencari cara untuk mengirimkan malware dengan cara baru untuk tetap berada di bawah radar dan menghindari deteksi,” peneliti AT&T Alien Labs Ofer Caspi menulis. “Malware Shikitega dikirimkan dengan cara yang canggih, menggunakan encoder polimorfik, dan secara bertahap mengirimkan muatannya di mana setiap langkah hanya mengungkapkan sebagian dari total muatan. Selain itu, malware menyalahgunakan layanan hosting yang dikenal untuk meng-host server perintah dan kontrolnya. “

AT&T Alien Labs

Tujuan akhir dari malware tidak jelas. Ini menjatuhkan perangkat lunak XMRig untuk menambang cryptocurrency Monero, jadi cryptojacking yang tersembunyi adalah satu kemungkinan. Tetapi Shikitega juga mengunduh dan menjalankan paket Metasploit yang kuat yang dikenal sebagai Keberanian, yang menggabungkan kemampuan termasuk kontrol webcam, pencurian kredensial, dan beberapa shell terbalik ke dalam paket yang berjalan di segala hal mulai dari “target Linux tertanam terkecil hingga besi besar.” Inklusi Mettle membuka potensi bahwa penambangan Monero secara sembunyi-sembunyi bukanlah satu-satunya fungsi.

Dropper utama berukuran kecil—file yang dapat dieksekusi hanya 376 byte.

AT&T Alien Labs

Pengkodean polimorfik terjadi berkat Shikata Ga Nai encoder, modul Metasploit yang memudahkan pengkodean shellcode yang dikirimkan dalam muatan Shikitega. Pengkodean digabungkan dengan rantai infeksi bertingkat, di mana setiap tautan merespons bagian dari tautan sebelumnya untuk mengunduh dan menjalankan tautan berikutnya.

“Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendekode lapisan berikutnya, hingga payload shellcode terakhir didekodekan dan dieksekusi,” jelas Caspi. “Stud encoder dihasilkan berdasarkan substitusi instruksi dinamis dan pemesanan blok dinamis. Selain itu, register dipilih secara dinamis.”

AT&T Alien Labs

AT&T Alien Labs

Server perintah akan merespons dengan perintah shell tambahan untuk mesin yang ditargetkan untuk dieksekusi, seperti yang didokumentasikan Caspi dalam pengambilan paket yang ditunjukkan di bawah ini. Byte yang ditandai dengan warna biru adalah perintah shell yang akan dieksekusi oleh Shikitega.

AT&T Alien Labs

Perintah dan file tambahan, seperti paket Mettle, secara otomatis dieksekusi di memori tanpa disimpan ke disk. Ini menambah siluman lebih lanjut dengan membuat deteksi melalui perlindungan antivirus menjadi sulit.

Untuk memaksimalkan kontrolnya atas perangkat yang disusupi, Shikitega mengeksploitasi dua eskalasi kritis kerentanan hak istimewa yang memberikan akses root penuh. Satu bug, dilacak sebagai CVE-2021-4034 dan bahasa sehari-hari dikenal sebagai PwnKit, mengintai di kernel Linux selama 12 tahun hingga ditemukan awal tahun ini. Kerentanan lainnya dilacak sebagai CVE-2021-3493 dan terungkap pada April 2021. Meskipun kedua kerentanan telah menerima tambalan, perbaikannya mungkin tidak diinstal secara luas, terutama pada perangkat IoT.

Postingan tersebut menyediakan hash file dan domain yang terkait dengan Shikitega yang dapat digunakan oleh pihak yang berkepentingan sebagai indikator kompromi. Mengingat pekerjaan yang dilakukan oleh aktor ancaman tak dikenal yang bertanggung jawab terhadap siluman malware, tidak mengherankan jika malware bersembunyi tanpa terdeteksi di beberapa sistem.