Κακόβουλο λογισμικό Linux επόμενης γενιάς καταλαμβάνει συσκευές με μοναδικό σετ εργαλείων

Ένα κακόβουλο λογισμικό που εστιάζει στο Linux με το όνομα Shikitega έχει εμφανιστεί για να στοχεύει τερματικά σημεία και συσκευές Internet of Things (IoT) με μια μοναδική αλυσίδα μόλυνσης πολλαπλών σταδίων που οδηγεί σε πλήρη ανάληψη της συσκευής και cryptominer.

Ερευνητές στο AT&T Alien Labs που εντόπισαν τον κακό κώδικα είπαν ότι η ροή επίθεσης αποτελείται από μια σειρά από ενότητες. Κάθε ενότητα όχι μόνο κατεβάζει και εκτελεί την επόμενη, αλλά καθένα από αυτά τα επίπεδα εξυπηρετεί έναν συγκεκριμένο σκοπό, σύμφωνα με Ανάρτηση Τρίτης από το Alien Labs.

Για παράδειγμα, εγκαθίσταται μία μονάδα Metasploit's "Mettle" Meterpreter, το οποίο επιτρέπει στους εισβολείς να μεγιστοποιήσουν τον έλεγχό τους σε μολυσμένα μηχανήματα με τη δυνατότητα εκτέλεσης κώδικα κελύφους, ανάληψης webcam και άλλων λειτουργιών και πολλά άλλα. Ένας άλλος είναι υπεύθυνος για την εκμετάλλευση δύο τρωτών σημείων του Linux (CVE-2021-3493
και CVE-2021-4034) να επιτύχει την κλιμάκωση των προνομίων ως root και να επιτύχει επιμονή. και ένας άλλος εκτελεί το γνωστό XMRig cryptominer για εξόρυξη Monero.

Περαιτέρω αξιοσημείωτες δυνατότητες του κακόβουλου λογισμικού περιλαμβάνουν τη χρήση του πολυμορφικού κωδικοποιητή «Shikata Ga Nai» για να εμποδίσει την ανίχνευση από μηχανές προστασίας από ιούς. και την κατάχρηση νόμιμων υπηρεσιών cloud για την αποθήκευση διακομιστών εντολών και ελέγχου (C2s). Σύμφωνα με την έρευνα, τα C2 μπορούν να χρησιμοποιηθούν για την αποστολή διαφόρων εντολών φλοιού στο κακόβουλο λογισμικό, επιτρέποντας στους εισβολείς τον πλήρη έλεγχο του στόχου.

Εκμεταλλεύσεις κακόβουλου λογισμικού Linux σε άνοδο

Το Shikitega είναι ενδεικτικό μιας τάσης προς τους εγκληματίες του κυβερνοχώρου ανάπτυξη κακόβουλου λογισμικού για Linux — η κατηγορία έχει εκτοξευθεί στα ύψη τους τελευταίους 12 μήνες, είπαν οι ερευνητές της Alien Labs, σημειώνοντας άνοδο 650%.

Η ενσωμάτωση των bug exploits είναι επίσης σε άνοδο, πρόσθεσαν.

«Οι φορείς απειλών βρίσκουν διακομιστές, τελικά σημεία και συσκευές IoT που βασίζονται σε λειτουργικά συστήματα Linux όλο και πιο πολύτιμους και βρίσκουν νέους τρόπους για να παραδώσουν τα κακόβουλα ωφέλιμα φορτία τους», σύμφωνα με την ανάρτηση. "Νέος κακόβουλα προγράμματα όπως το BotenaGo και EnemyBot
είναι παραδείγματα του τρόπου με τον οποίο οι συντάκτες κακόβουλου λογισμικού ενσωματώνουν γρήγορα τρωτά σημεία που ανακαλύφθηκαν πρόσφατα για να βρουν νέα θύματα και να αυξήσουν την απήχησή τους».

Σε μια σχετική σημείωση, το Linux γίνεται επίσης δημοφιλής στόχος για ransomware: Μια αναφορά από την Trend Micro αυτή την εβδομάδα εντόπισε αύξηση 75%. σε επιθέσεις ransomware που στοχεύουν συστήματα Linux το πρώτο εξάμηνο του 2022 σε σύγκριση με την ίδια περίοδο πέρυσι.

Πώς να προστατευτείτε από τις λοιμώξεις Shikitega

Ο Terry Olaes, διευθυντής μηχανικής πωλήσεων στο Skybox Security, δήλωσε ότι ενώ το κακόβουλο λογισμικό μπορεί να είναι νέο, οι συμβατικές άμυνες θα εξακολουθούν να είναι σημαντικές για την αποτροπή μολύνσεων από το Shikitega.

«Παρά τις καινοτόμες μεθόδους που χρησιμοποιεί ο Shikitega, εξακολουθεί να βασίζεται στη δοκιμασμένη και αληθινή αρχιτεκτονική, το C2 και την πρόσβαση στο Διαδίκτυο, για να είναι πλήρως αποτελεσματικό», είπε σε δήλωση που δόθηκε στο Dark Reading. «Οι Sysadmins πρέπει να εξετάσουν την κατάλληλη πρόσβαση στο δίκτυο για τους κεντρικούς υπολογιστές τους και να αξιολογήσουν τα στοιχεία ελέγχου που διέπουν την τμηματοποίηση. Η δυνατότητα αναζήτησης ενός μοντέλου δικτύου για να προσδιοριστεί πού υπάρχει πρόσβαση στο cloud μπορεί να βοηθήσει πολύ στην κατανόηση και τον μετριασμό του κινδύνου για κρίσιμα περιβάλλοντα.»

Επίσης, δεδομένης της εστίασης που δίνουν πολλές παραλλαγές Linux στην ενσωμάτωση εκμεταλλεύσεων σφαλμάτων ασφαλείας, συμβούλεψε τις εταιρείες, φυσικά, να επικεντρωθούν στην ενημέρωση κώδικα. Πρότεινε επίσης την ενσωμάτωση μιας προσαρμοσμένης διαδικασίας επιδιόρθωσης-προτεραιοποίησης, η οποία είναι πιο εύκολο να ειπωθεί παρά να γίνει.

«Αυτό σημαίνει να ακολουθήσουμε μια πιο προληπτική προσέγγιση στη διαχείριση ευπάθειας μαθαίνοντας να εντοπίζουμε και να ιεραρχούμε τα εκτεθειμένα τρωτά σημεία σε ολόκληρο το τοπίο απειλών», είπε. «Οι οργανισμοί θα πρέπει να διασφαλίζουν ότι διαθέτουν λύσεις ικανές να ποσοτικοποιήσουν τον επιχειρηματικό αντίκτυπο των κινδύνων στον κυβερνοχώρο με συντελεστές οικονομικού αντίκτυπου. Αυτό θα τους βοηθήσει να εντοπίσουν και να ιεραρχήσουν τις πιο κρίσιμες απειλές με βάση το μέγεθος του χρηματοοικονομικού αντίκτυπου, μεταξύ άλλων αναλύσεων κινδύνου, όπως οι βαθμολογίες κινδύνου με βάση την έκθεση».

Πρόσθεσε, «Πρέπει επίσης να βελτιώσουν την ωριμότητα των προγραμμάτων διαχείρισης ευπάθειας τους για να διασφαλίσουν ότι μπορούν γρήγορα να ανακαλύψουν εάν μια ευπάθεια τους επηρεάζει ή όχι, πόσο επείγον είναι να αποκατασταθεί και ποιες επιλογές υπάρχουν για την εν λόγω αποκατάσταση».