新型Linux惡意軟件Shikitega

侯彬炳

一種名為Shikitega的新型Linux惡意軟件，可利用多階段感染鏈來針對端點和物聯(lián)網設備。近日，據(jù)Security affairs的消息，AT&T Alien Labs的研究人員發(fā)現(xiàn)了一種新型隱形Linux惡意軟件Shikitega，它以端點和物聯(lián)網設備為目標實施多階段感染，以達到能夠完全控制系統(tǒng)并執(zhí)行其他惡意活動，包括加密貨幣挖掘。

該惡意軟件的主要釋放器是一個非常小的ELF文件，其總大小僅約為370 byte，而其實際代碼大小約為300 byte。專家報告稱，Shikitega能夠從C2服務器下載下一階段的有效載荷并直接在內存中執(zhí)行。通過利用Metasploit中最流行的編碼器Shikata Ga Nai，惡意軟件會運行多個解碼循環(huán)，每一個循環(huán)解碼下一層，直到最終的shellcode有效負載被解碼并執(zhí)行。

Shikitega利用CVE-2021-4034（PwnKit）和CVE-2021- 3493漏洞來提升權限，并在root權限執(zhí)行的最后階段保持持久性。

由于Shikitega使用多態(tài)編碼器來逐步實現(xiàn)有效負載，其中每個步驟僅顯示總有效負載的一部分。這一“低調”操作讓Shikitega避免被反病毒引擎檢測到。

除了Shikitega，近來在野外發(fā)現(xiàn)的Linux惡意軟件正越發(fā)多樣，包括BPFDoor，Symbiote，Syslogk，OrBit，Lightning Framework等。