Eine Linux-fokussierte Schadsoftware namens Shikitega ist aufgetaucht, die Endpunkte und Internet-of-Things-Geräte (IoT) mit einer einzigartigen, mehrstufigen Infektionskette angreift, die zu einer vollständigen Geräteübernahme und einem Kryptominer führt.
Forscher von AT&T Alien Labs, die den fehlerhaften Code entdeckten, sagten, dass der Angriffsfluss aus einer Reihe von Modulen bestehe. Jedes Modul lädt nicht nur das nächste herunter und führt es aus, sondern jede dieser Schichten dient laut a einem bestimmten Zweck Beitrag vom Dienstag von Alien Labs.
Beispielsweise wird ein Modul installiert Metasploits „Mettle“ Meterpreter, was es Angreifern ermöglicht, ihre Kontrolle über infizierte Maschinen zu maximieren, indem sie Shell-Code ausführen, Webcams und andere Funktionen übernehmen und vieles mehr. Ein anderer ist für die Ausnutzung zweier Linux-Schwachstellen verantwortlich (CVE-2021-3493
machen CVE-2021-4034), um eine Rechteausweitung als Root zu erreichen und Persistenz zu erreichen; und noch ein anderer führt das aus bekannter XMRig-Kryptominer für den Abbau von Monero.
Zu den weiteren bemerkenswerten Fähigkeiten der Malware gehört die Verwendung des polymorphen Encoders „Shikata Ga Nai“, um die Erkennung durch Antiviren-Engines zu verhindern; und der Missbrauch legitimer Cloud-Dienste zur Speicherung von Command-and-Control-Servern (C2s). Den Untersuchungen zufolge können mit den C2s verschiedene Shell-Befehle an die Schadsoftware gesendet werden, wodurch Angreifer die volle Kontrolle über das Ziel erhalten.
Linux-Malware-Exploits auf dem Vormarsch
Shikitega deutet auf einen Trend hin zu Cyberkriminellen hin Entwicklung von Malware für Linux – Die Kategorie ist in den letzten 12 Monaten sprunghaft angestiegen, sagen Forscher von Alien Labs, und zwar um 650 %.
Auch die Einbindung von Bug-Exploits nehme zu, fügten sie hinzu.
„Bedrohungsakteure finden Server, Endpunkte und IoT-Geräte, die auf Linux-Betriebssystemen basieren, immer wertvoller und finden neue Wege, ihre bösartigen Nutzlasten zu verbreiten“, heißt es in dem Beitrag. "Neu Malware wie BotenaGo machen EnemyBot
sind Beispiele dafür, wie Malware-Autoren kürzlich entdeckte Schwachstellen schnell einbinden, um neue Opfer zu finden und ihre Reichweite zu erhöhen.“
In diesem Zusammenhang wird auch Linux zu einem beliebten Ziel für Ransomware: Ein Bericht von Trend Micro diese Woche stellte einen Anstieg um 75 % fest bei Ransomware-Angriffen auf Linux-Systeme im ersten Halbjahr 2022 im Vergleich zum Vorjahreszeitraum.
So schützen Sie sich vor Shikitega-Infektionen
Terry Olaes, Director of Sales Engineering bei Skybox Security, sagte, dass die Malware zwar neu sei, herkömmliche Abwehrmaßnahmen jedoch weiterhin wichtig seien, um Shikitega-Infektionen zu verhindern.
„Trotz der neuartigen Methoden, die Shikitega verwendet, ist es für seine volle Wirksamkeit immer noch auf die bewährte Architektur C2 und den Zugang zum Internet angewiesen“, sagte er in einer Erklärung gegenüber Dark Reading. „Systemadministratoren müssen einen geeigneten Netzwerkzugriff für ihre Hosts in Betracht ziehen und die Kontrollen bewerten, die die Segmentierung regeln. Die Möglichkeit, ein Netzwerkmodell abzufragen, um festzustellen, wo Cloud-Zugriff besteht, kann einen großen Beitrag zum Verständnis und zur Risikominderung für kritische Umgebungen leisten.“
Angesichts des Fokus, den viele Linux-Varianten auf die Einbindung von Sicherheitslücken legen, riet er den Unternehmen außerdem, sich natürlich auf das Patchen zu konzentrieren. Er schlug außerdem vor, einen maßgeschneiderten Patching-Priorisierungsprozess zu integrieren, der ist leichter gesagt als getan.
„Das erfordert einen proaktiveren Ansatz beim Schwachstellenmanagement, indem wir lernen, exponierte Schwachstellen in der gesamten Bedrohungslandschaft zu identifizieren und zu priorisieren“, sagte er. „Organisationen sollten sicherstellen, dass sie über Lösungen verfügen, die in der Lage sind, die geschäftlichen Auswirkungen von Cyberrisiken anhand wirtschaftlicher Einflussfaktoren zu quantifizieren. Dies wird ihnen helfen, die kritischsten Bedrohungen basierend auf der Größe der finanziellen Auswirkungen zu identifizieren und zu priorisieren, neben anderen Risikoanalysen, wie z. B. expositionsbasierten Risikobewertungen.“
Er fügte hinzu: „Sie müssen auch den Reifegrad ihrer Schwachstellenmanagementprogramme verbessern, um sicherzustellen, dass sie schnell erkennen können, ob eine Schwachstelle Auswirkungen auf sie hat, wie dringend die Behebung ist und welche Optionen es für diese Behebung gibt.“
