新しいLinuxマルウェアは、通常とは異なるステルス性でシステムに潜入

画像ソース:Alien Labs

研究者は今週、従来のサーバーと小型のモノのインターネット デバイスの両方に感染するステルス性と巧妙さで注目に値するLinuxマルウェアの新種を明らかにしました。

発見したAT&T Alien Labの研究者がShikitega(シキテガ)と名付けたこのマルウェアは、ポリモーフィックエンコーディングを使用した多段階の感染チェーンを通じて配信されます。また、正規のクラウドサービスを悪用してコマンドアンドコントロール・サーバーをホストします。これらのことは、検出を非常に困難にします。

AT&T Alien Labsの研究者Ofer Caspi氏は次のように書いています。「Shikitegaマルウェアは洗練された方法で配信され、ポリモーフィックエンコーダーを使用し、各ステップで総ペイロードの一部のみが明らかになるペイロードを徐々に配信します。さらに、マルウェアは既知のホスティングサービスを悪用してコマンドアンドコントロール・サーバーをホストします。」

マルウェアの最終的な目的は明らかではありません。Monero暗号通貨をマイニングするための XMRigソフトウェアをドロップするため、ステルス クリプトジャッキングが1つの可能性です。しかし、ShikitegaはMettleと呼ばれる強力な Metasploit パッケージもダウンロードして実行します。

このパッケージには、Web カメラ制御、資格情報の盗用、複数のリバース シェルなどの機能がバンドルされており、「最小の組み込みLinuxターゲットから大規模なアイアンまで」すべてで実行されます。Mettle が含まれていることで、秘密の Monero マイニングが唯一の機能ではない可能性が残されています。

メインのドロッパーは非常に小さく、わずか376バイトの実行可能ファイルです。
ポリモーフィックエンコーディングは、Shikitagaペイロードで配信されるシェルコードのエンコードを容易にする MetasploitモジュールであるShikata Ga Naiエンコーダーのおかげで行われます。エンコーディングは、各リンクが前のリンクの一部に応答して次のリンクをダウンロードして実行する、多段階の感染チェーンと組み合わされます。

「マルウェアは、エンコーダーを使用して、最終的なシェルコードペイロードがデコードされて実行されるまで、1つのループが次のレイヤーをデコードする複数のデコード ループを実行します」とCaspi氏は説明します。
「エンコーダ スタッドは、動的命令置換と動的ブロック順序付けに基づいて生成されます。さらに、レジスタは動的に選択されます。」

Caspi氏が説明しているように、コマンドサーバーは、ターゲットマシンが実行する追加のシェルコマンドで応答します。青色でマークされたバイトは、Shikataが実行するシェル コマンドです。

コマンドMettle パッケージなどの追加ファイルは、ディスクに保存されることなくメモリ内で自動的に実行されます。これにより、ウイルス対策保護による検出が困難になり、ステルス性がさらに高まります。

侵害されたデバイスを最大限に制御するために、Shikitegaは完全なrootアクセスを可能にする2つの重大な権限昇格の脆弱性を悪用します。CVE-2021-4034 として追跡され、通称PwnKitとして知られる 1 つのバグは、今年初めに発見されるまで12 年間Linux カーネルに潜んでいました。

もう1つの脆弱性はCVE-2021-3493として追跡されており、2021年4月に明らかになりました。両方の脆弱性にパッチが適用されていますが、特に IoT デバイスでは、修正プログラムが広くインストールされていない可能性があります。

(via Arts Technica)

Last Updated on 2022年9月10日 by M林檎

コメントを残す

メールアドレスが公開されることはありません。