بدافزار Shikitega در ماینرهای ارزهای دیجیتال گسترش می یابد


AT&T Alien یک بدافزار جدید لینوکس به نام Shikitega است که رایانه ها و دستگاه های IoT (اینترنت اشیا) را با بارهای متعدد آلوده می کند. بدافزار مخفی از آسیب پذیری ها برای افزایش امتیازات و ایجاد ثبات سوء استفاده می کند. پس از اینکه مهاجم کنترل سیستم را به دست گرفت، یک ماینر ارز دیجیتال مستقر می شود.

به گزارش شبکه خبری بانکداری الکترونیک، همانطور که توسط AT&T Alien Labs اشاره شده است، بدافزار Shikitega شامل یک زنجیره عفونت چند مرحله ای است. چند صد بایت در هر لایه برای تشویق فعال سازی واحد فراهم می کند. هر واحد به قسمت متفاوتی از محموله پاسخ می دهد و سپس قسمت بعدی را اجرا می کند.

این بدافزار به مهاجمان اجازه می دهد تا کنترل کاملی بر سیستم به دست آورند و عملیات رمزگذاری را انجام دهند. هر ماژول وظیفه خاصی دارد، مانند دانلود/اجرای شمارنده Metasploit، تنظیم پایداری روی یک ماشین آلوده، بهره برداری از نقص های لینوکس، و دانلود/اجرای رمزگذار.

روش دستیابی به استقرار اولیه هنوز ناشناخته است. اولین لایه آلوده یک فایل ELF 370 بایتی است که حاوی یک پوسته کدگذاری شده است. پس از اتمام رمزگشایی، بار نهایی Mettle با امکان اجرای کد و کنترل از راه دور از طریق “int 0x80” اجرا می شود که به اجرای syscall مناسب کمک می کند.

سپس با فراخوانی ۱۰۲ syscall دستورات دیگری را که از سرور C2 خود می آید دانلود و اجرا می کند. دستورات روی هارد دیسک ذخیره نمی شوند. در عوض، آنها از حافظه اجرا می شوند. Mettle یک فایل ELF کوچکتر را بازیابی می کند که رمزگذار را دانلود و اجرا می کند.

بدافزار پنهان لینوکس Shikitega که Monero Cryptominer را پخش می کند

عملیات شیکیتگا

علاوه بر این، Shikitega از یک رمزگذار XOR چند شکلی برای بازخورد اضافی به نام Shikata Ga Nai استفاده می کند. قبلاً توسط محققان مورد مطالعه قرار گرفته است و گزارش می دهند که هر کد پوسته کدگذاری شده ای که تولید می کند با بقیه متفاوت است. زیرا از تکنیک های زیادی مانند ترتیب گروهی پویا و جایگزینی دستورات پویا و تصادفی برای فاصله دستورات بین دستورالعمل ها استفاده می کند.

در این کمپین، از این رمزگذاری برای شناسایی پیچیده توسط موتورهای آنتی ویروس و بهره برداری از سرویس های ابری استفاده می شود. بدافزار Shiketega به روشی پیچیده تحویل داده می شود، از یک رمزگذار چند شکلی استفاده می کند، محموله خود را به صورت تدریجی تحویل می دهد، و تنها بخشی از کل محموله را در هر مرحله نشان می دهد.

Shikitega یک بدافزار وحشی است. زیرا می تواند بارهای مرحله بعدی را از سرور C2 دانلود کرده و مستقیماً در حافظه اجرا کند. با استفاده از PwnKit یا CVE-2021-4034 و CVE-2021-3493 به افزایش امتیاز دست می یابد. یک مهاجم به راحتی می تواند از مجوزهای بالا برای واکشی اسکریپت های پوسته مرحله پایانی با امتیازات ریشه و استقرار رمز Monero استفاده کند.

منبع: پلیس فتا

انتهای پیام/

لینک کوتاهلینک کپی شد!