-
14/01/2021
-
19
-
85 bài viết
Phát hiện mã độc mới trên hệ thống Linux và các thiết bị IoT
Shikitega, một mã độc mới trên Linux vừa được phát hiện trong chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc nhằm xâm phạm các thiết bị endpoint và thiết bị IoT.
AT&T Alien Labs cho biết kẻ tấn công có thể chiếm quyền kiểm soát hệ thống, và thực thi các chương trình khai thác tiền điện tử lên hệ thống một cách trái phép. Ngoài ra, ngày càng tăng các phần mềm độc hại Linux đã được tìm thấy trong những tháng gần đây, bao gồm BPFDoor , Symbiote , Syslogk , OrBit và Lightning Framework.
Sau khi được triển khai trên một máy chủ của nạn nhân, chuỗi tấn công này sẽ tải xuống và thực thi công cụ "Mettle" của Metasploit để tối ưu hóa khả năng kiểm soát, khai thác các lỗ hổng để nâng cao đặc quyền, và để tạo kết nối liên tục sẽ được tải thông qua crontab, cuối cùng khởi chạy tiến trình khai thác tiền điện tử.
Hiện vẫn chưa rõ phương pháp chính xác để xâm phạm vào máy nạn nhân, nhưng điều khiến Shikitega “lẩn trốn” là khả năng tải xuống các payload ở giai đoạn tiếp theo từ máy chủ C2 và thực thi trực tiếp trong bộ nhớ. Nếu sử dụng các công cụ quét/ chống virus hay dựa vào các domain độc hại nhằm phát hiện Shikitega thì rất khó bởi vì nó được sử dụng bộ mã hóa đa hình "Shikata ga nai" và sử dụng các dịch vụ cloud hợp pháp cho địa chỉ C2.
Sau khi thâm nhập vào máy nạn nhân Shikitega nâng cấp đặc quyền bằng cách khai thác CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493, cho phép hacker thực thi các đặc quyền nâng cao để tìm, download và thực thi các tập lệnh shell và thiết lập các backdoor với công cụ khai thác tiền điện tử có tên Monero.
Theo nhà nghiên cứu Ofer Caspi của AT&T cho biết không chỉ Shikitega mà các phần mềm độc hại đang ngày càng phát triển một các tinh vi, phân phối theo nhiều cách khác nhau để thoát khỏi tầm ngắm và tránh bị phát hiện.
AT&T Alien Labs cho biết kẻ tấn công có thể chiếm quyền kiểm soát hệ thống, và thực thi các chương trình khai thác tiền điện tử lên hệ thống một cách trái phép. Ngoài ra, ngày càng tăng các phần mềm độc hại Linux đã được tìm thấy trong những tháng gần đây, bao gồm BPFDoor , Symbiote , Syslogk , OrBit và Lightning Framework.
Sau khi được triển khai trên một máy chủ của nạn nhân, chuỗi tấn công này sẽ tải xuống và thực thi công cụ "Mettle" của Metasploit để tối ưu hóa khả năng kiểm soát, khai thác các lỗ hổng để nâng cao đặc quyền, và để tạo kết nối liên tục sẽ được tải thông qua crontab, cuối cùng khởi chạy tiến trình khai thác tiền điện tử.
Hiện vẫn chưa rõ phương pháp chính xác để xâm phạm vào máy nạn nhân, nhưng điều khiến Shikitega “lẩn trốn” là khả năng tải xuống các payload ở giai đoạn tiếp theo từ máy chủ C2 và thực thi trực tiếp trong bộ nhớ. Nếu sử dụng các công cụ quét/ chống virus hay dựa vào các domain độc hại nhằm phát hiện Shikitega thì rất khó bởi vì nó được sử dụng bộ mã hóa đa hình "Shikata ga nai" và sử dụng các dịch vụ cloud hợp pháp cho địa chỉ C2.
Sau khi thâm nhập vào máy nạn nhân Shikitega nâng cấp đặc quyền bằng cách khai thác CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493, cho phép hacker thực thi các đặc quyền nâng cao để tìm, download và thực thi các tập lệnh shell và thiết lập các backdoor với công cụ khai thác tiền điện tử có tên Monero.
Theo nhà nghiên cứu Ofer Caspi của AT&T cho biết không chỉ Shikitega mà các phần mềm độc hại đang ngày càng phát triển một các tinh vi, phân phối theo nhiều cách khác nhau để thoát khỏi tầm ngắm và tránh bị phát hiện.