Новое вредоносное ПО для Linux сочетает в себе необычную скрытность с полным набором функций
Новое вредоносное ПО для Linux сочетает в себе необычную скрытность с полным набором функций
Увеличить
Гетти Изображений
На этой неделе исследователи представили новый штамм вредоносного ПО для Linux, который выделяется своей скрытностью и изощренностью при заражении как традиционных серверов, так и небольших устройств Интернета вещей.
Вредоносная программа, получившая название Shikitega от исследователей AT&T Alien Labs, которая ее обнаружила, доставляется по многоступенчатой цепочке заражения с использованием полиморфного кодирования. Он также злоупотребляет законными облачными сервисами для размещения серверов управления и контроля. Эти элементы чрезвычайно затрудняют обнаружение.
"Субъекты угроз продолжают исследовать новые способы доставки вредоносного ПО, чтобы оставаться незамеченными и избежать обнаружения", — пишет исследователь AT&T Alien Labs Офер Каспи. «Вредоносное ПО Shikitega доставляется сложным образом, использует полиморфный кодировщик и постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки. Кроме того, вредоносное ПО злоупотребляет известными услугами хостинга для размещения своих серверов управления и контроля. "
Лаборатории пришельцев AT&T
Конечная цель вредоносного ПО неясна. Он отказывается от программного обеспечения XMRig для майнинга криптовалюты Monero, поэтому возможен скрытый криптоджекинг. Но Шикитега также загружает и запускает мощный пакет Metasploit, известный как Mettle, который объединяет такие функции, как управление веб-камерой, кража учетных данных и несколько обратных оболочек в один пакет, который работает на всем, от «самых маленьких встроенных целей Linux до большого железа». Включение Mettle оставляет открытой возможность того, что подземный майнинг Monero — не единственная функция.
Основной дроппер крошечный: исполняемый файл размером всего 376 байт.
Увеличить
Лаборатории пришельцев AT&T
Полиморфное кодирование осуществляется с помощью кодировщика Shikata Ga Nai Encoder, модуля Metasploit, который облегчает кодирование шелл-кода, предоставленного в полезных нагрузках Shikitega. Шифрование сочетается с многоэтапной цепочкой заражения, в которой каждая ссылка отвечает на часть предыдущей для загрузки и запуска следующей.
«Используя кодировщик, вредоносное ПО циклически проходит через несколько циклов декодирования, где один цикл декодирует следующий уровень, пока не будет декодирован и выполнен окончательный полезный шелл-код», — пояснил Каспи. "Шпилька энкодера генерируется на основе динамической подстановки команд и динамического порядка блоков. Кроме того, регистры выбираются динамически."
На этой неделе исследователи представили новый штамм вредоносного ПО для Linux, который выделяется своей скрытностью и изощренностью при заражении как традиционных серверов, так и небольших устройств Интернета вещей.
Вредоносная программа, получившая название Shikitega от исследователей AT&T Alien Labs, которая ее обнаружила, доставляется по многоступенчатой цепочке заражения с использованием полиморфного кодирования. Он также злоупотребляет законными облачными сервисами для размещения серверов управления и контроля. Эти элементы чрезвычайно затрудняют обнаружение.
"Субъекты угроз продолжают исследовать новые способы доставки вредоносного ПО, чтобы оставаться незамеченными и избежать обнаружения", — пишет исследователь AT&T Alien Labs Офер Каспи. «Вредоносное ПО Shikitega доставляется сложным образом, использует полиморфный кодировщик и постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки. Кроме того, вредоносное ПО злоупотребляет известными услугами хостинга для размещения своих серверов управления и контроля. "
Лаборатории пришельцев AT&T
Конечная цель вредоносного ПО неясна. Он отказывается от программного обеспечения XMRig для майнинга криптовалюты Monero, поэтому возможен скрытый криптоджекинг. Но Шикитега также загружает и запускает мощный пакет Metasploit, известный как Mettle, который объединяет такие функции, как управление веб-камерой, кража учетных данных и несколько обратных оболочек в один пакет, который работает на всем, от «самых маленьких встроенных целей Linux до большого железа». Включение Mettle оставляет открытой возможность того, что подземный майнинг Monero — не единственная функция.
Основной дроппер крошечный: исполняемый файл размером всего 376 байт.
Увеличить
Лаборатории пришельцев AT&T
Полиморфное кодирование осуществляется с помощью кодировщика Shikata Ga Nai Encoder, модуля Metasploit, который облегчает кодирование шелл-кода, предоставленного в полезных нагрузках Shikitega. Шифрование сочетается с многоэтапной цепочкой заражения, в которой каждая ссылка отвечает на часть предыдущей для загрузки и запуска следующей.
«Используя кодировщик, вредоносное ПО циклически проходит через несколько циклов декодирования, где один цикл декодирует следующий уровень, пока не будет декодирован и выполнен окончательный полезный шелл-код», — пояснил Каспи. "Шпилька энкодера генерируется на основе динамической подстановки команд и динамического порядка блоков. Кроме того, регистры выбираются динамически."
Увеличить
Гетти Изображений
Лаборатории пришельцев AT&T
Увеличить
Лаборатории пришельцев AT&T
Увеличить
Лаборатории пришельцев AT&T
