Skoncentrowane na Linuksie złośliwe oprogramowanie o nazwie Shikitega pojawiło się, aby atakować punkty końcowe i urządzenia Internetu rzeczy (IoT) z unikalnym, wieloetapowym łańcuchem infekcji, który skutkuje pełnym przejęciem urządzenia i wydobywaniem kryptowalut.
Badacze z AT&T Alien Labs, którzy zauważyli zły kod, powiedzieli, że atak składa się z serii modułów. Każdy moduł nie tylko pobiera i wykonuje następny, ale każda z tych warstw służy określonemu celowi, zgodnie z a Publikowanie we wtorek z Alien Labs.
Na przykład instaluje się jeden moduł Metasploit „Mettle” Meterpreter, który pozwala atakującym zmaksymalizować kontrolę nad zainfekowanymi maszynami dzięki możliwości wykonywania kodu powłoki, przejmowania kamer internetowych i innych funkcji i nie tylko. Inny odpowiada za wykorzystanie dwóch luk Linuksa (CVE-2021-3493
i CVE-2021-4034), aby osiągnąć eskalację uprawnień jako root i osiągnąć trwałość; a jeszcze inny wykonuje znany kryptominer XMRig do wydobywania Monero.
Inne godne uwagi możliwości tego szkodliwego oprogramowania obejmują wykorzystanie polimorficznego kodera „Shikata Ga Nai” do udaremniania wykrycia przez silniki antywirusowe; oraz nadużywanie legalnych usług w chmurze do przechowywania serwerów dowodzenia i kontroli (C2s). Według badań, C2 mogą być wykorzystywane do wysyłania różnych poleceń powłoki do szkodliwego oprogramowania, umożliwiając atakującym pełną kontrolę nad celem.
Złośliwe oprogramowanie na Linuksa rośnie w siłę
Shikitega wskazuje na trend w kierunku cyberprzestępców tworzenie złośliwego oprogramowania dla Linuksa — kategoria gwałtownie wzrosła w ciągu ostatnich 12 miesięcy, twierdzą naukowcy z Alien Labs, osiągając 650%.
Dodają, że liczba luk w zabezpieczeniach również rośnie.
„Podmioty zajmujące się zagrożeniami znajdują coraz bardziej wartościowe serwery, punkty końcowe i urządzenia IoT oparte na systemach operacyjnych Linux i znajdują nowe sposoby dostarczania swoich szkodliwych ładunków” — czytamy w artykule. "Nowy złośliwe oprogramowanie, takie jak BotenaGo i WrógBot
to przykłady tego, jak twórcy złośliwego oprogramowania szybko wykorzystują niedawno odkryte luki w zabezpieczeniach, aby znaleźć nowe ofiary i zwiększyć ich zasięg”.
W związku z tym Linux staje się również popularnym celem oprogramowania ransomware: raport firmy Trend Micro w tym tygodniu zidentyfikował 75% wzrost w atakach ransomware wymierzonych w systemy Linux w pierwszej połowie 2022 r. w porównaniu z analogicznym okresem ubiegłego roku.
Jak chronić się przed infekcjami Shikitega
Terry Olaes, dyrektor ds. inżynierii sprzedaży w Skybox Security, powiedział, że chociaż złośliwe oprogramowanie może być nowatorskie, konwencjonalne mechanizmy obronne będą nadal ważne w zapobieganiu infekcjom Shikitega.
„Pomimo nowatorskich metod stosowanych przez Shikitega, nadal opiera się na wypróbowanej i prawdziwej architekturze, C2 i dostępie do Internetu, aby była w pełni skuteczna”, powiedział w oświadczeniu dostarczonym Dark Reading. „Administratorzy muszą rozważyć odpowiedni dostęp do sieci dla swoich hostów i ocenić mechanizmy sterujące segmentacją. Możliwość odpytywania modelu sieci w celu ustalenia, gdzie istnieje dostęp do chmury, może znacznie pomóc w zrozumieniu i złagodzeniu ryzyka dla środowisk krytycznych”.
Ponadto, biorąc pod uwagę nacisk, jaki wiele wariantów Linuksa kładzie na wykorzystywanie luk w zabezpieczeniach, doradzał firmom, aby oczywiście skupiły się na łataniu. Zasugerował również włączenie dostosowanego procesu ustalania priorytetów poprawek, który: łatwiej powiedzieć niż zrobić.
„Oznacza to przyjęcie bardziej proaktywnego podejścia do zarządzania podatnościami poprzez uczenie się identyfikowania i priorytetyzowania narażonych podatności w całym krajobrazie zagrożeń” – powiedział. „Organizacje powinny zapewnić sobie rozwiązania zdolne do ilościowego określenia wpływu cyberryzyka na biznes z uwzględnieniem czynników ekonomicznych. Pomoże im to zidentyfikować i uszeregować najważniejsze zagrożenia w oparciu o wielkość wpływu finansowego, a także inne analizy ryzyka, takie jak oceny ryzyka oparte na ekspozycji”.
Dodał: „Muszą również zwiększyć dojrzałość swoich programów zarządzania podatnościami, aby zapewnić, że mogą szybko odkryć, czy dana luka ma na nie wpływ, jak pilna jest naprawa i jakie są dostępne opcje naprawienia”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
