Forscher von AT&T haben eine neue Linux-Malware mit dem Namen Shikitega entdeckt, die es auf Server und IoT-Geräte abgesehen hat. Unter Ausnutzung von Schwachstellen verschafft sie sich höhere Rechte und startet auf infizierten Geräten schließlich einen Monero-Miner. Dabei geht die Malware ziemlich unauffällig vor und umgeht durch einen polymorphen Encoder die signaturbasierte Erkennung gängiger Antivirenprogramme.
Der bereits 2019 von
Eine weitere via Mettle abgerufene ELF-Datei nutzt anschließend
Mit zunehmender Verbreitung geraten Linux-Systeme immer mehr in den Fokus von Cyberkriminellen. Schließlich sind es oftmals schlecht gesicherte und kaum überwachte IoT-Geräte oder besonders leistungsfähige Server, die von diesem Betriebssystem Gebrauch machen. Erstere sind oftmals besonders leicht hackbar, Zweitere bieten enorme Rechenleistung, die sich lukrativ einsetzen lässt. Erst kürzlich nahmen wir Lightning, ein neues Malware-Framework für Linux, genauer unter die Lupe.
Tarnkappe.info
Shikitega nutzt einen polymorphen Encoder und entfaltet sich schrittweise
Laut demDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
verwendet Shikitega eine mehrstufige Infektionskette. “Die Shiketega-Malware wird auf raffinierte Weise verbreitet, sie verwendet einen polymorphen Encoder und liefert nach und nach ihre Nutzlast, wobei jeder Schritt nur einen Teil der gesamten Nutzlast enthüllt“, teilen die Sicherheitsexperten mit. Den Start macht dabei eine gerade einmal 370 Byte große ELF-Datei, die verschlüsselten Shellcode enthält und als Dropper fungiert.Der bereits 2019 von
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
analysierte Encoder mit dem Namen “Shikata Ga Nai” sorgt für die Verschlüsselung.Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Mettle öffnet die Tür für den Monero-Miner XMRig
Durch Ausführung des entschlüsselten Shellcodes kontaktiert Shikitega die Command-and-Control-Server (C2), um zusätzlichen Shellcode abzurufen und auszuführen. Dabei wird unter anderem der MeterpreterDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
heruntergeladen, der dem Angreifer zusätzliche Möglichkeiten der Fernsteuerung und Codeausführung liefert.Eine weitere via Mettle abgerufene ELF-Datei nutzt anschließend
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
aus, um weitreichende Berechtigungen zu erlangen und schließlich den Krypto-Miner XMRig in der Version 6.17.0 als Root herunterzuladen. Dieser ist dann für das Mining des anonymen und schwer zurückverfolgbaren Monero vorgesehen. Es ist jedoch durchaus denkbar, dass Angreifer Shikitega in Zukunft auch für andere Nutzlasten einsetzen.Angriffe auf Linux-Systeme häufen sich – und erfordern Maßnahmen
Als Sicherheitsmaßnahmen für Systemadministratoren, um sich vor Malware wie Shikitega zu schützen, empfehlen die AT&T Forscher, Systeme durch Sicherheitsupdates immer aktuell zu halten. Außerdem sei es nützlich, EDR (Endpoint Detection and Response) sowie Antivirenprogramme zu verwenden sowie Dateien durch regelmäßige Backups zu sichern.Mit zunehmender Verbreitung geraten Linux-Systeme immer mehr in den Fokus von Cyberkriminellen. Schließlich sind es oftmals schlecht gesicherte und kaum überwachte IoT-Geräte oder besonders leistungsfähige Server, die von diesem Betriebssystem Gebrauch machen. Erstere sind oftmals besonders leicht hackbar, Zweitere bieten enorme Rechenleistung, die sich lukrativ einsetzen lässt. Erst kürzlich nahmen wir Lightning, ein neues Malware-Framework für Linux, genauer unter die Lupe.
Tarnkappe.info
