一种名为 Shikitega 的以 Linux 为中心的恶意软件已经出现,它以端点和物联网 (IoT) 设备为目标,具有独特的多级感染链,可导致完全设备接管和加密矿工。
发现错误代码的 AT&T Alien Labs 研究人员表示,攻击流程由一系列模块组成。 每个模块不仅下载并执行下一个模块,而且这些层中的每一层都有特定的用途,根据 周二发布 来自外星人实验室。
例如,一个模块安装 Metasploit 的“Mettle”Meterpreter,它允许攻击者通过执行 shell 代码、接管网络摄像头和其他功能等来最大限度地控制受感染的机器。 另一个负责利用两个 Linux 漏洞(CVE-2021-3493
和 CVE-2021-4034) 以 root 身份实现特权升级并实现持久性; 还有一个执行 著名的 XMRig 加密矿工 用于开采门罗币。
该恶意软件的其他值得注意的功能包括使用“Shikata Ga Nai”多态编码器来阻止反病毒引擎的检测; 以及滥用合法的云服务来存储命令和控制服务器 (C2)。 根据研究,C2 可用于向恶意软件发送各种 shell 命令,从而使攻击者可以完全控制目标。
Linux 恶意软件利用呈上升趋势
Shikitega 预示着网络犯罪分子的趋势 为 Linux 开发恶意软件 - 该类别在过去 12 个月内猛增,Alien Labs 研究人员表示,飙升了 650%。
他们补充说,漏洞利用的结合也在增加。
“威胁行为者发现基于 Linux 操作系统的服务器、端点和物联网设备越来越有价值,并找到了传递恶意负载的新方法,”该帖子称。 “新的 像 BotenaGo 这样的恶意软件 和 敌人机器人
是恶意软件编写者如何快速整合最近发现的漏洞以寻找新受害者并扩大其影响范围的示例。”
与此相关的是,Linux 也正在成为勒索软件的热门目标:趋势科技本周的一份报告 确定增加了 75% 2022 年上半年针对 Linux 系统的勒索软件攻击与去年同期相比。
如何预防 Shikitega 感染
Skybox Security 的销售工程总监 Terry Olaes 表示,虽然恶意软件可能很新颖,但传统防御对于阻止 Shikitega 感染仍然很重要。
“尽管 Shikitega 使用了新颖的方法,但它仍然依赖于久经考验的架构、C2 和互联网访问,才能完全有效,”他在提供给 Dark Reading 的一份声明中说。 “系统管理员需要为其主机考虑适当的网络访问,并评估管理分段的控制。 能够查询网络模型以确定云访问存在的位置可以大大有助于理解和降低关键环境的风险。”
此外,鉴于许多 Linux 变体都将重点放在合并安全漏洞利用上,他建议公司当然要专注于修补。 他还建议结合一个量身定制的补丁优先级流程,该流程 说起来容易做起来难.
“这意味着通过学习在整个威胁环境中识别和优先处理暴露的漏洞,采取更积极主动的漏洞管理方法,”他说。 “组织应确保他们拥有能够通过经济影响因素量化网络风险对业务影响的解决方案。 这将帮助他们根据财务影响的大小以及其他风险分析(例如基于暴露的风险评分)来识别最关键的威胁并确定其优先级。”
他补充说,“他们还必须提高漏洞管理程序的成熟度,以确保他们能够快速发现漏洞是否影响到他们、补救的紧迫性以及补救的选项。”
