Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

Theo các nhà nghiên cứu bảo mật tại AT&T Alien Labs (Hoa Kỳ) cho biết: “Tin tặc có thể giành toàn quyền kiểm soát hệ thống, bằng cách khai thác các lỗ hổng để leo thang đặc quyền. Sau đó, một công cụ khai thác tiền điện tử (cryptocurrency miner) có thể được cài đặt vào các thiết bị đã lây nhiễm”. Shikitega sử dụng bộ mã hóa đa hình để tránh bị phát hiện bởi các phần mềm diệt virus và rất khó để thực hiện bất kỳ nỗ lực phân tích tĩnh hay dựa trên chữ ký nào của nó.

Chuỗi lây nhiễm

Mã độc Shikitega lây nhiễm thông qua việc kích hoạt một tệp gọi là “ELF”, hoạt động như trình thả Dropper (là một loại Trojan được thiết kế để cài đặt và kích hoạt một số mã độc vào hệ thống, có khả năng lẩn tránh các phần mềm diệt virus). Shikitega có dung lượng khá nhỏ, dung lượng đoạn mã chiếm khoảng 300 byte trong khi tổng kích thước của file khoảng 370 byte.

Hình 1. Cấu trúc file ELF

Sau khi được cài đặt trên máy chủ mục tiêu, chuỗi tấn công sẽ tải xuống và thực thi công cụ “Mettle” của Metasploit để tối đa hóa khả năng kiểm soát, khai thác các lỗ hổng để leo thang đặc quyền của nó, ngoài ra còn được kích hoạt thêm tính bền bỉ và linh hoạt trên máy chủ thông qua “crontab” - tiện ích dòng lệnh để lập lịch công việc trên hệ điều hành và cuối cùng khởi chạy trình khai thác tiền điện tử trên các thiết bị đã bị lây nhiễm.

Công cụ Mettle được cấu hình để tìm nạp một tệp ELF có dung lượng như trên và thực hiện khai thác các lỗ hổng CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493 để tiến hành leo thang đặc quyền, cho phép các tin tặc lạm dụng các quyền nâng cao để tìm nạp và thực thi các tập lệnh shell code giai đoạn cuối với các đặc quyền tối đa, để thiết lập tính bền vững và triển khai công cụ khai thác tiền điện tử Monero trên các thiết bị đã bị lây nhiễm.

Hình 2. Shell code thực thi bổ sung

Chuỗi lây nhiễm của Shikitega được thể hiện trong Hình 3 dưới đây, mục đích cuối cùng là tiến hành leo thang đặc quyền và cài đặt một số tiện ích bổ sung trên các thiết bị đã lây nhiễm.

Hình 3. Chuỗi lây nhiễm của Shikitega

Để lẩn tránh các phần mềm diệt virus, Shikitega sử dụng bộ mã hóa đa hình với tên gọi là “Shikata Ga Nai” (một trong những bộ mã hóa phổ biến nhất được sử dụng trong Metasploit) được thực thi cho quá trình mã hóa và sử dụng các dịch vụ đám mây hợp pháp cho địa chỉ C2 (Command and Control). Để giải mã dữ liệu, mã độc thực hiện một số vòng giải mã qua các phép XOR.

Hình 4. Chương trình giải mã file mã hóa thực thi

Shikitega cũng cho thấy xu hướng các tin tặc đang mở rộng phạm vi tấn công để phù hợp với hệ điều hành Linux được sử dụng rộng rãi trong các nền tảng đám mây và máy chủ trên toàn cầu, làm gia tăng các vụ lây nhiễm mã độc tống tiền LockBit và Cheerscrypt.

Để phòng tránh mã độc Shiketega, nhà nghiên cứu Ofer Caspi của AT&T Alien Labs đưa ra khuyến nghị các tổ chức cần đảm bảo rằng tất cả các thiết bị đầu cuối đều được cài đặt phần mềm diệt virus cũng như phần mềm EDR (Endpoint Detection & Response), các phần mềm luôn được cập nhật các bản vá bảo mật mới nhất. Quan trọng hơn là tổ chức cần thực hiện một chiến lược bảo mật mạnh mẽ, toàn diện.