[ This article was originally published here ]
Yönetici Özeti
AT&T Alien Labs, Linux işletim sistemleri çalıştıran uç noktaları ve IoT cihazlarını hedefleyen yeni bir kötü amaçlı yazılım keşfetti. Shikitega, her modülün yükün bir kısmına yanıt verdiği ve bir sonrakini indirip yürüttüğü çok aşamalı bir enfeksiyon zincirinde teslim edilir. Saldırgan, yürütülecek ve kalıcı olacak şekilde ayarlanacak kripto para birimi madencisine ek olarak sistemin tam kontrolünü ele geçirebilir.
Anahtar çıkarımlar:
- Kötü amaçlı yazılım, virüslü makineler üzerindeki kontrolünü en üst düzeye çıkarmak için Metasploit’in “Mettle” ölçüm yorumlayıcısını indirir ve yürütür.
- Shikitega, yüksek ayrıcalıklar elde etmek, kripto madencisini sürdürmek ve yürütmek için sistem güvenlik açıklarından yararlanır.
- Kötü amaçlı yazılım, anti-virüs motorları tarafından tespit edilmesini zorlaştırmak için polimorfik bir kodlayıcı kullanır.
- Shikitega, bazı komuta ve kontrol sunucularını (C&C) depolamak için meşru bulut hizmetlerini kötüye kullanıyor.
Şekil 1. Shikitega operasyon süreci.
Arka fon
Bu yıl Linux için kötü amaçlı yazılım ve fidye yazılımlarında, 2022’nin ilk yarısında tüm zamanların en yüksek seviyesine ulaşan tehdit aktörleri, Linux işletim sistemlerine dayalı sunucuları, uç noktaları ve IoT cihazlarını giderek daha değerli buluyor ve kötü niyetli yüklerini iletmenin yeni yollarını buluyor. . Yeni kötü amaçlı yazılımlar, kötü amaçlı yazılım yazarlarının yeni kurbanlar bulmak ve erişimlerini artırmak için yakın zamanda keşfedilen güvenlik açıklarını nasıl hızla birleştirdiğinin örnekleridir ve bunlara örnektir.
Shikitega, ilkinin yalnızca birkaç yüz bayt içerdiği ve her bir modülün Metasploit meterpreter’i indirip yürütmekten, Linux güvenlik açıklarından yararlanmaya, virüslü makinede kalıcılığı ayarlamaya ve indirmeye kadar belirli bir görevden sorumlu olduğu birden çok katmanda bir enfeksiyon zinciri kullanır. bir kripto madenci yürütmek.
analiz
Kötü amaçlı yazılımın ana damlası, toplam boyutunun yalnızca 370 bayt civarında olduğu, gerçek kod boyutunun ise yaklaşık 300 bayt olduğu çok küçük bir ELF dosyasıdır. (şekil 2)
Şekil 2. Toplam yalnızca 376 baytlık kötü amaçlı ELF dosyası.
Kötü amaçlı yazılım, Metasploit’te kullanılan en popüler kodlayıcılardan biri olan “” polimorfik XOR katkılı geri bildirim kodlayıcısını kullanır. Kötü amaçlı yazılım, kodlayıcıyı kullanarak, son kabuk kodu yükünün kodu çözülüp yürütülene kadar bir döngünün sonraki katmanın kodunu çözdüğü birkaç kod çözme döngüsünden geçer. Kodlayıcı saplaması, dinamik komut ikamesi ve dinamik blok sıralamasına dayalı olarak oluşturulur. Ek olarak, kayıtlar dinamik olarak seçilir. Aşağıda kodlayıcının ilk iki döngünün şifresini nasıl çözdüğünü görebiliriz: (şekil 3 ve 4)
Şekil 3. İlk “Shikata Ga Nai” şifre çözme döngüsü.
Şekil 4. İlki tarafından oluşturulan ikinci “Shikata Ga Nai” şifre çözme döngüsü.
Birkaç şifre çözme döngüsünden sonra, nihai yük kabuk kodunun şifresi çözülecek ve yürütülecektir. Kötü amaçlı yazılım herhangi bir içe aktarma kullanmadığından, uygun sistem çağrısını yürütmek için ‘int 0x80’ kullanır. Ana dropper kodu çok küçük olduğundan, kötü amaçlı yazılım 102 syscall (sys_socketcall) arayarak komut ve kontrolünden ek komutlar indirecek ve yürütecektir. (Şekil 5)
Şekil 5. Kesintileri kullanarak sistem işlevlerini çağırma
C&C, şekil 6’daki paket yakalamada görüldüğü gibi, yürütülecek ek kabuk komutlarıyla yanıt verecektir. Mavi ile işaretlenen ilk baytlar, kötü amaçlı yazılımın yürüteceği kabuk komutlarıdır.
Şekil 6. C&C’den alınan ek komutlar.
Alınan komut, sunucudan sabit sürücüde depolanmayacak ek dosyalar indirecek, bunun yerine yalnızca bellekten yürütülecek. (Şekil 7)
Şekil 7. C&C’den alınan ek kabuk kodunu yürütür.
Diğer kötü amaçlı yazılım sürümlerinde, C&C’den alınan komutla ‘/bin/sh’ yürütmek için “execve” sistem çağrısını kullanır. (şekil 8)
Şekil 8. syscall_execve kullanarak kabuk komutlarını çalıştırma.
Kötü amaçlı yazılım, saldırganın web kamerası kontrolü, sniffer, çoklu ters kabuklar (tcp/http..), süreç kontrolü, kabuk komutlarını yürütme ve daha pek çok saldırıyı kullanmasına izin veren bir Metasploit ölçüm yorumlayıcısını indirir ve yürütür.
Ek olarak, kötü amaçlı yazılım, bir sonraki aşama damlatıcısını indirmek ve yürütmek için wget’i kullanır.
Sonraki aşama damlalık
Bir sonraki indirilen ve yürütülen dosya, “Shikata Ga Nai” kodlayıcı ile kodlanmış ek bir küçük ELF dosyasıdır (yaklaşık 1 kb). Kötü amaçlı yazılım, şifresi çözülen kabuk ile parametre olarak ‘/bin/sh’ ile syscall_execve’yi çağırarak yürütülecek bir kabuk komutunun şifresini çözer. (Şekil 9)
Şekil 9. İkinci aşama dropper, kabuk komutlarının şifresini çözer ve yürütür.
Yürütülen kabuk komutu ek dosyaları indirecek ve yürütecektir. Bir sonraki ve son aşama damlatıcısını yürütmek için, ayrıcalıklardan yararlanmak için iki linux güvenlik açığından yararlanacaktır – ve (şekil 10 ve 11).
Şekil 10. Linux güvenlik açığından yararlanma CVE-2021-3493.
Şekil 11. CVE-2021-4034 güvenlik açığından yararlanma.
Kötü amaçlı yazılım, son aşamayı kök ayrıcalıklarıyla (kalıcılık ve kripto madenciliği yükü) indirmek ve yürütmek için istismardan yararlanacaktır.
kalıcılık
Kalıcılığı sağlamak için, kötü amaçlı yazılım toplam 5 kabuk komut dosyası indirecek ve yürütecektir. İkisi mevcut oturum açmış kullanıcı için ve diğer ikisi kullanıcı kökü için olmak üzere 4 crontab ayarlayarak sistemde kalır. Önce makinede crontab komutunun olup olmadığını kontrol edecek ve değilse, kötü amaçlı yazılım onu yükleyecek ve crontab hizmetini başlatacaktır.
Yalnızca bir örneğin çalıştığından emin olmak için, “/var/tmp/vm.lock” kilit dosyasıyla komutu kullanacaktır.
Şekil 12. Son yükü yürütmek için kök crontab ekleme.
Kalıcılığı sağlamak için indirilen ve yürütülen komut dosyasının listesi aşağıdadır:
|
komut dosyası adı |
detaylar |
|
unix.sh |
Sistemde “crontab” komutlarının olup olmadığını kontrol edin, yoksa kurun ve crontab servisini başlatın. |
|
brict.sh |
Mevcut kullanıcının kripto madenciyi çalıştırması için crontab ekler. |
|
politika.sh |
Cryptominer’ı yürütmek için kök crontab’ı ekler. |
|
truct.sh |
Mevcut kullanıcının cryptominer indirmesi ve C&C’den yapılandırması için crontab ekler. |
|
kısıtlama.sh |
Cryptominer’ı indirmek ve C&C’den yapılandırmak için root crontab’ı ekler. |
Kötü amaçlı yazılım crontabs ile devam ettikçe, varlığını gizlemek için indirilen tüm dosyaları sistemden siler.
Kripto madenci yükü
Kötü amaçlı yazılım, Monero kripto para birimi için popüler bir madenci olan XMRig madencisini indirir ve çalıştırır. Ayrıca, kripto madencisini indirmek ve yürütmek ve yukarıdaki kalıcılık bölümünde belirtildiği gibi C&C’den yapılandırmak için bir crontab ayarlayacaktır.
Şekil 13. XMRig madenci, virüslü bir makineye indirilir ve yürütülür.
Komuta ve kontrol
Shikitega, şekil 14’te gösterildiği gibi bazı komut ve kontrol sunucularını (C&C) barındırmak için bulut çözümlerini kullanır. Kötü amaçlı yazılım bazı durumlarda komuta ve kontrol sunucusuyla etki alanı adı olmadan doğrudan IP kullanarak iletişim kurduğundan, tam bir liste sağlamak zordur. uçucu olduklarından ve kısa sürede meşru amaçlar için kullanılacaklarından tespitler için göstergelerin.
Şekil 14. Meşru bir bulut barındırma hizmetinde barındırılan komuta ve kontrol sunucusu.
Önerilen eylemler
- Güvenlik güncellemeleriyle yazılımı güncel tutun.
- Tüm uç noktalara Antivirus ve/veya EDR yükleyin.
- Sunucu dosyalarını yedeklemek için bir yedekleme sistemi kullanın.
Çözüm
Tehdit aktörleri, radarın altında kalmak ve tespit edilmekten kaçınmak için kötü amaçlı yazılımları yeni yollarla sunmanın yollarını aramaya devam ediyor. Shiketega kötü amaçlı yazılımı sofistike bir şekilde teslim edilir, polimorfik bir kodlayıcı kullanır ve her adımın toplam yükün yalnızca bir kısmını ortaya çıkardığı yükünü kademeli olarak iletir. Ayrıca, kötü amaçlı yazılım, komuta ve kontrol sunucularını barındırmak için bilinen barındırma hizmetlerini kötüye kullanır. Güvende kal!
İlişkili Göstergeler (IOC’ler)
Aşağıdaki teknik göstergeler, bildirilen istihbaratla ilişkilidir. Göstergelerin bir listesi de mevcuttur. Lütfen dikkat, nabız, ilgili ancak raporun kapsamı dışında kalan diğer faaliyetleri içerebilir.
|
TİP |
GÖSTERGE |
TANIM |
|
ALAN ADI |
kısa çizgi[.]cloudflare.ovh |
Komuta ve kontrol |
|
ALAN ADI |
ana[.]cloudfronts.net |
Komuta ve kontrol |
|
SHA256 |
b9db845097bbf1d2e3b2c0a4a7ca93b0dc80a8c9e8dbbc3d09ef77590c13d331 |
Kötü amaçlı yazılım karması |
|
SHA256 |
0233dcf6417ab33b48e7b54878893800d268b9b6e5ca6ad852693174226e3yatak |
Kötü amaçlı yazılım karması |
|
SHA256 |
f7f105c0c669771daa6b469de9f99596647759d9dd16d0620be90005992128eb |
Kötü amaçlı yazılım karması |
|
SHA256 |
8462d0d14c4186978715ad5fa90cbb679c8ff7995bcefa6f9e11b16e5ad63732 |
Kötü amaçlı yazılım karması |
|
SHA256 |
d318e9f2086c3cf2a258e275f9c63929b4560744a504ced68622b2e0b3f56374 |
Kötü amaçlı yazılım karması |
|
SHA256 |
fc97a8992fa2fe3fd98afddcd03f2fc8f1502dd679a32d1348a9ed5b208c4765 |
Kötü amaçlı yazılım karması |
|
SHA256 |
e4a58509fea52a4917007b1cd1a87050b0109b50210c5d00e08ece1871af084d |
Kötü amaçlı yazılım karması |
|
SHA256 |
cbdd24ff70a363c1ec89708367e141ea2c141479cc4e3881dcd989eec859135d |
Kötü amaçlı yazılım karması |
|
SHA256 |
d5bd2b6b86ce14fbad5442a0211d4cb1d56b6c75f0b3d78ad8b8dd82483ff4f8 |
Kötü amaçlı yazılım karması |
|
SHA256 |
29aafbfd93c96b37866a89841752f29b55badba386840355b682b1853efafcb8 |
Kötü amaçlı yazılım karması |
|
SHA256 |
4ed78c4e90ca692f05189b80ce150f6337d237aaa846e0adf7d8097fcebacfe7 |
Kötü amaçlı yazılım karması |
|
SHA256 |
130888cb6930500cf65fc43522e2836d21529cab9291c8073873ad7a90c1fbc5 |
Kötü amaçlı yazılım karması |
|
SHA256 |
3ce8dfaedb3e87b2f0ad59e1c47b9b6791b99796d38edc3a72286f4b4e5dc098 |
Kötü amaçlı yazılım karması |
|
SHA256 |
6b514e9a30cbb4d6691dd0ebdeec73762a488884eb0f67f8594e07d356e3d275 |
Kötü amaçlı yazılım karması |
|
SHA256 |
7c70716a66db674e56f6e791fb73f6ce62ca1ddd8b8a51c74fc7a4ae6ad1b3ad |
Kötü amaçlı yazılım karması |
|
SHA256 |
2b305939d1069c7490b3539e2855ed7538c1a83eb2baca53e50e7ce1b3a165ab |
Kötü amaçlı yazılım karması CVE-2021-3493 |
|
SHA256 |
4dcae1bddfc3e2cb98eae84e86fb58ec14ea6ef00778ac5974c4ec526d3da31f |
Kötü amaçlı yazılım karması CVE-2021-4034 |
|
SHA256 |
e8e90f02705ecec9e73e3016b8b8fe915873ed0add87923bf4840831f807a4b4 |
Kötü amaçlı yazılım karması |
|
SHA256 |
64a31abd82af27487985a0c0f47946295b125e6d128819d1cbd0f6b62a95d6c4 |
Kötü amaçlı yazılım kabuk komut dosyası |
|
SHA256 |
623e7ad399c10f0025fba333a170887d0107bead29b60b07f5e93d26c9124955 |
Kötü amaçlı yazılım kabuk komut dosyası |
|
SHA256 |
59f0b03a9ccf8402e6392e07af29e2cfa1f08c0fc862825408dea6d00e3d91af |
Kötü amaçlı yazılım kabuk komut dosyası |
|
SHA256 |
9ca4fbfa2018fe334ca8f6519f1305c7fbe795af9eb62e9f58f09e858aab7338 |
Kötü amaçlı yazılım kabuk komut dosyası |
|
SHA256 |
05727581a43c61c5b71d959d0390d31985d7e3530c998194670a8d60e953e464 |
Kötü amaçlı yazılım kabuk komut dosyası |
|
SHA256 |
ea7d79f0ddb431684f63a901afc596af24898555200fc14cc2616e42ab95ea5d |
Kötü amaçlı yazılım karması |
MITRE ATT&CK ile eşlendi
Bu raporun bulguları aşağıdaki tekniklerle eşleştirilir:
- TA0002: Yürütme
- T1059: Komut ve Komut Dosyası Yorumlayıcısı
- T1569: Sistem Hizmeti
- T1569.002: Hizmet Yürütme
- TA0003: Kalıcılık
- T1543: Sistem İşlemini Oluşturun veya Değiştirin
- TA0005: Savunmadan Kaçınma
- T1027: Gizlenmiş Dosyalar veya Bilgiler
reklam