“复杂”的Shikitega恶意软件利用Linux的已知漏洞攻击传播

一种隐蔽的新型恶意软件针对Linux系统进行攻击，可以完全控制受感染的设备——它正在使用这种访问权限来安装挖矿木马。

该恶意软件被称为Shikitega，针对运行Linux操作系统的终端和物联网设备，AT&T Alien Labs的网络安全研究人员对此进行了详细分析。

该恶意软件在感染链的多个阶段传递，其每个模块响应来自C2的命令并下载执行下一阶段的有效载荷。

通过一点一点地下载有效载荷——从一个只有几百字节的模块开始——Shikitega可以避免被杀毒软件发现。它还使用多态编码器使其更难检测。

研究人员指出，Shikitega背后的运营团队滥用合法的云服务来托管他们的C2服务器。

最初的感染方法仍然未知，但恶意软件逐渐下载越来越多的模块以提供完整的功能，从最初的dropper开始，然后经历了几个阶段——包括下载Mettle，这是一种Metasploit框架的攻击性工具，它允许攻击者部署更广泛的攻击。

其中包括控制网络摄像头、控制进程、执行shell命令等等。运行shell命令为攻击者提供了进一步利用系统的能力——这似乎是他们目前关注的重点。

该恶意软件会下载并执行利用Linux中漏洞的更多模块，这些模块可用于对受感染系统的持久性控制。

这些漏洞是：

• CVE-2021-3493，Linux内核中的一个验证问题，允许攻击者获得权限提升；
• VE-2021-4034，polkit中的一个高严重性内存损坏漏洞，它默认安装在Linux发行版中。

通过利用这些漏洞，恶意软件能够以root权限下载和执行有效载荷，从而完全控制系统。

攻击的最后阶段会下载挖矿木马，攻击者通过挖矿牟利。虽然这似乎是目前攻击的焦点，但Shikitega对系统的控制意味着它可以在未来用于更具破坏性的攻击。

Alien Labs的分析师Ofer Caspi说：“Shikitega恶意软件以复杂的方式交付，使用了多态编码器，每个步骤仅交付有效负载的一部分，以逃避安全软件检测。”

详细技术报告：cybersecurity.att.com