È stato scoperto un nuovo malware Linux furtivo, noto come Shikitega, che infetta computer e dispositivi IoT con payload aggiuntivi.
Il malware sfrutta le vulnerabilità per elevare i propri privilegi, aggiunge la persistenza sull’host tramite crontab e infine lancia un miner di criptovalute sui dispositivi infetti.
Shikitega è piuttosto furtivo e riesce a eludere il rilevamento antivirus utilizzando un codificatore polimorfico che rende impossibile il rilevamento statico basato sulle firme.
Un’intricata catena di infezione
Sebbene il metodo di infezione iniziale non sia al momento noto, i ricercatori di AT&T che hanno scoperto Shikitega affermano che il malware utilizza una catena di infezione in più fasi in cui ogni livello fornisce solo poche centinaia di byte, attivando un semplice modulo e passando poi a quello successivo.
“Il malware Shiketega viene distribuito in modo sofisticato, utilizza un codificatore polimorfico e distribuisce gradualmente il suo carico utile, dove ogni passaggio rivela solo una parte del carico utile totale”, spiega il rapporto di AT&T.
L’infezione inizia con un file ELF di 370 byte, che è il dropper contenente shellcode codificato.
Il file ELF che avvia la catena di infezione
La codifica viene eseguita utilizzando il codificatore polimorfico XOR a feedback additivo “Shikata Ga Nai”, precedentemente analizzato da Mandiant.
“Utilizzando il codificatore, il malware esegue diversi cicli di decodifica, in cui un ciclo decodifica il livello successivo fino alla decodifica e all’esecuzione del payload dello shellcode finale”, continua il rapporto.
“Lo stud encoder viene generato sulla base della sostituzione dinamica delle istruzioni e dell’ordinamento dinamico dei blocchi. Inoltre, i registri vengono selezionati dinamicamente”.
I cicli di decodifica in Shikata Ga Nai
Una volta completata la decrittazione, lo shellcode viene eseguito per contattare i server di comando e controllo del malware (C2) e ricevere ulteriori shellcode (comandi) memorizzati ed eseguiti direttamente dalla memoria.
Uno di questi comandi scarica ed esegue “Mettle”, un payload Metasploit Meterpreter piccolo e portatile che offre agli aggressori ulteriori opzioni di controllo remoto ed esecuzione di codice sull’host.
Comando scaricato che recupera Mettle
Mettle recupera un file ELF più piccolo, che sfrutta CVE-2021-4034 (alias PwnKit) e CVE-2021-3493 per elevare i privilegi e scaricare il payload della fase finale, un miner di criptovalute, come root.
Sfruttamento di PwnKit per elevare i privilegi a root
La persistenza del minatore di criptovalute si ottiene scaricando cinque script di shell che aggiungono quattro cronjob, due per l’utente root e due per l’utente corrente.
I cinque script di shell e le loro funzioni
I crontab sono un efficace meccanismo di persistenza, quindi tutti i file scaricati vengono cancellati per ridurre la probabilità che il malware venga scoperto.
Il miner di criptovalute è XMRig versione 6.17.0, che si concentra sull’estrazione di Monero, un miner anonimo e difficile da tracciare.
Panoramica della catena di infezione Shitikega
Per ridurre ulteriormente le possibilità di allarme dei prodotti di sicurezza di rete, gli attori delle minacce dietro Shikitega utilizzano servizi di cloud hosting legittimi per ospitare la loro infrastruttura di comando e controllo.
Questa scelta costa di più e mette gli operatori a rischio di essere rintracciati e identificati dalle forze dell’ordine, ma offre una migliore furtività nei sistemi compromessi.
Il team di AT&T segnala un forte aumento del malware Linux quest’anno, consigliando agli amministratori di sistema di applicare gli aggiornamenti di sicurezza disponibili, di utilizzare l’EDR su tutti gli endpoint e di eseguire backup regolari dei dati più importanti.
Per ora, Shikitega sembra focalizzato sul mining di Monero, ma gli attori della minaccia potrebbero decidere che altri payload più potenti possono essere più redditizi nel lungo periodo.
