یک بدافزار متمرکز بر لینوکس به نام Shikitega برای هدف قرار دادن نقاط پایانی و دستگاههای اینترنت اشیا (IoT) با یک زنجیره عفونت منحصربهفرد و چند مرحلهای پدید آمده است که منجر به تصاحب کامل دستگاه و یک cryptominer میشود.
محققان AT&T Alien Labs که کد بد را مشاهده کردند، گفتند که جریان حمله شامل یک سری ماژول است. با توجه به پست سه شنبه از آزمایشگاه های بیگانه
به عنوان مثال، یک ماژول نصب می شود Metasploit's Mettle Meterpreter، که به مهاجمان اجازه می دهد تا کنترل خود را بر روی ماشین های آلوده با توانایی اجرای کد پوسته، کنترل وب کم و سایر عملکردها و موارد دیگر به حداکثر برسانند. دیگری مسئول بهره برداری از دو آسیب پذیری لینوکس است (CVE-2021-3493
و CVE-2021-4034) برای دستیابی به امتیاز - تشدید به عنوان ریشه و دستیابی به پایداری. و دیگری آن را اجرا می کند cryptominer معروف XMRig برای استخراج Monero.
قابلیتهای قابلتوجه بیشتر در این بدافزار شامل استفاده از رمزگذار پلیمورفیک Shikata Ga Nai برای جلوگیری از شناسایی توسط موتورهای آنتیویروس است. و سوء استفاده از خدمات ابری قانونی برای ذخیره سرورهای فرمان و کنترل (C2s). بر اساس این تحقیقات، C2s می تواند برای ارسال دستورات پوسته مختلف به بدافزار مورد استفاده قرار گیرد و به مهاجمان امکان کنترل کامل بر هدف را می دهد.
سوء استفاده از بدافزار لینوکس در حال افزایش است
Shikitega نشان دهنده گرایش به سمت مجرمان سایبری است توسعه بدافزار برای لینوکس به گفته محققان آزمایشگاه بیگانه، این دسته در 12 ماه گذشته به شدت افزایش یافته است و 650 درصد افزایش یافته است.
آنها افزودند که استفاده از اکسپلویت های باگ نیز در حال افزایش است.
بر اساس این پست، عوامل تهدید سرورها، نقاط پایانی و دستگاههای IoT مبتنی بر سیستمعامل لینوکس را بیشتر و بیشتر ارزشمند میدانند و راههای جدیدی برای تحویل بارهای مخرب خود پیدا میکنند. "جدید بدافزارهایی مانند BotenaGo و EnemyBot
نمونههایی از این هستند که چگونه نویسندگان بدافزار به سرعت آسیبپذیریهایی را که اخیراً کشف شدهاند برای یافتن قربانیان جدید و افزایش دسترسی آنها به کار میبرند.»
در یک یادداشت مرتبط، لینوکس در حال تبدیل شدن به یک هدف محبوب برای باجافزار است: گزارشی از Trend Micro در این هفته افزایش 75 درصدی را شناسایی کرد در حملات باجافزاری که سیستمهای لینوکس را در نیمه اول سال 2022 نسبت به مدت مشابه سال گذشته هدف قرار دادند.
چگونه در برابر عفونت شیکیتگا محافظت کنیم
Terry Olaes، مدیر مهندسی فروش Skybox Security، گفت که اگرچه بدافزار ممکن است جدید باشد، اما دفاعهای متعارف همچنان برای خنثی کردن عفونتهای Shikitega مهم هستند.
او در بیانیهای که به Dark Reading ارائه شده است، گفت: «علیرغم روشهای جدیدی که شیکیتگا استفاده میکند، هنوز به معماری آزمایششده و واقعی، C2 و دسترسی به اینترنت متکی است تا کاملاً مؤثر باشد». Sysadmin ها باید دسترسی مناسب به شبکه را برای میزبان خود در نظر بگیرند و کنترل هایی را که تقسیم بندی را کنترل می کنند، ارزیابی کنند. توانایی جستجو در یک مدل شبکه برای تعیین محل دسترسی ابری میتواند راه درازی را به سمت درک و کاهش خطر برای محیطهای حیاتی انجام دهد.
همچنین، با توجه به تمرکزی که بسیاری از انواع لینوکس بر استفاده از اکسپلویتهای امنیتی دارند، او به شرکتها توصیه کرد که البته روی وصلهسازی تمرکز کنند. او همچنین پیشنهاد کرد که یک فرآیند وصلهبندی-اولویتبندی متناسب با آن بکار رود گفتن راحت تر از انجام دادن است.
او گفت: «این به معنای اتخاذ رویکردی فعالتر برای مدیریت آسیبپذیری با یادگیری شناسایی و اولویتبندی آسیبپذیریهای در معرض خطر در کل چشمانداز تهدید است». «سازمانها باید اطمینان حاصل کنند که راهحلهایی دارند که میتوانند تأثیر تجاری ریسکهای سایبری را با عوامل تأثیر اقتصادی تعیین کنند. این به آنها کمک میکند تا بحرانیترین تهدیدها را براساس اندازه تأثیر مالی، در میان سایر تحلیلهای ریسک، مانند امتیازهای ریسک مبتنی بر مواجهه، شناسایی و اولویتبندی کنند.»
وی افزود: «آنها همچنین باید بلوغ برنامههای مدیریت آسیبپذیری خود را افزایش دهند تا مطمئن شوند که میتوانند به سرعت کشف کنند که آیا آسیبپذیری بر آنها تأثیر میگذارد یا نه، اصلاح آن چقدر فوری است و چه گزینههایی برای اصلاح آن وجود دارد».