Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

Thứ năm - 28/03/2024 06:26
Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.
 

Theo các nhà nghiên cứu bảo mật tại AT&T Alien Labs (Hoa Kỳ) cho biết: “Tin tặc có thể giành toàn quyền kiểm soát hệ thống, bằng cách khai thác các lỗ hổng để leo thang đặc quyền. Sau đó, một công cụ khai thác tiền điện tử (cryptocurrency miner) có thể được cài đặt vào các thiết bị đã lây nhiễm”. Shikitega sử dụng bộ mã hóa đa hình để tránh bị phát hiện bởi các phần mềm diệt virus và rất khó để thực hiện bất kỳ nỗ lực phân tích tĩnh hay dựa trên chữ ký nào của nó.

Chuỗi lây nhiễm

Mã độc Shikitega lây nhiễm thông qua việc kích hoạt một tệp gọi là “ELF”, hoạt động như trình thả Dropper (là một loại Trojan được thiết kế để cài đặt và kích hoạt một số mã độc vào hệ thống, có khả năng lẩn tránh các phần mềm diệt virus). Shikitega có dung lượng khá nhỏ, dung lượng đoạn mã chiếm khoảng 300 byte trong khi tổng kích thước của file khoảng 370 byte.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

Hình 1. Cấu trúc file ELF

Sau khi được cài đặt trên máy chủ mục tiêu, chuỗi tấn công sẽ tải xuống và thực thi công cụ “Mettle” của Metasploit để tối đa hóa khả năng kiểm soát, khai thác các lỗ hổng để leo thang đặc quyền của nó, ngoài ra còn được kích hoạt thêm tính bền bỉ và linh hoạt trên máy chủ thông qua “crontab” - tiện ích dòng lệnh để lập lịch công việc trên hệ điều hành và cuối cùng khởi chạy trình khai thác tiền điện tử trên các thiết bị đã bị lây nhiễm.

Công cụ Mettle được cấu hình để tìm nạp một tệp ELF có dung lượng như trên và thực hiện khai thác các lỗ hổng CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493 để tiến hành leo thang đặc quyền, cho phép các tin tặc lạm dụng các quyền nâng cao để tìm nạp và thực thi các tập lệnh shell code giai đoạn cuối với các đặc quyền tối đa, để thiết lập tính bền vững và triển khai công cụ khai thác tiền điện tử Monero trên các thiết bị đã bị lây nhiễm.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

Hình 2. Shell code thực thi bổ sung

Chuỗi lây nhiễm của Shikitega được thể hiện trong Hình 3 dưới đây, mục đích cuối cùng là tiến hành leo thang đặc quyền và cài đặt một số tiện ích bổ sung trên các thiết bị đã lây nhiễm.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

Hình 3. Chuỗi lây nhiễm của Shikitega

Để lẩn tránh các phần mềm diệt virus, Shikitega sử dụng bộ mã hóa đa hình với tên gọi là “Shikata Ga Nai” (một trong những bộ mã hóa phổ biến nhất được sử dụng trong Metasploit) được thực thi cho quá trình mã hóa và sử dụng các dịch vụ đám mây hợp pháp cho địa chỉ C2 (Command and Control). Để giải mã dữ liệu, mã độc thực hiện một số vòng giải mã qua các phép XOR.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

Hình 4. Chương trình giải mã file mã hóa thực thi

Shikitega cũng cho thấy xu hướng các tin tặc đang mở rộng phạm vi tấn công để phù hợp với hệ điều hành Linux được sử dụng rộng rãi trong các nền tảng đám mây và máy chủ trên toàn cầu, làm gia tăng các vụ lây nhiễm mã độc tống tiền LockBit và Cheerscrypt.

Để phòng tránh mã độc Shiketega, nhà nghiên cứu Ofer Caspi của AT&T Alien Labs đưa ra khuyến nghị các tổ chức cần đảm bảo rằng tất cả các thiết bị đầu cuối đều được cài đặt phần mềm diệt virus cũng như phần mềm EDR (Endpoint Detection & Response), các phần mềm luôn được cập nhật các bản vá bảo mật mới nhất. Quan trọng hơn là tổ chức cần thực hiện một chiến lược bảo mật mạnh mẽ, toàn diện.

Tác giả bài viết: Trương Đình Dũng

Nguồn tin: antoanthongtin

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Giới Thiệu

Giới thiệu về trung tâm

Trung tâm Công nghệ thông tin và Truyền thông Sơn La, được thành lập từ 20/12/2004, tại Quyết định số 189/2004/QĐ-UB, của UBND tỉnh Sơn La, tiền thân là Trung tâm tin học trực thuộc Văn phòng UBND tỉnh Sơn La. Chính thức được đổi tên thành Trung tâm Công nghệ thông tin và Truyền thông tỉnh Sơn La từ...

Thăm dò ý kiến

Bạn biết đến website trung tâm CNTT & Truyền thông qua kênh thông tin nào

Ảnh hoạt động
IMG-7754.jpg IMG-7795.jpg IMG-7801.jpg IMG-7771.jpg 20170719-092244.jpg 20170719-092505.jpg
Liên kết nhanh
Thống kê
  • Đang truy cập32
  • Hôm nay3,468
  • Tháng hiện tại18,817
  • Tổng lượt truy cập9,493,717
Hỗ Trợ Online
Soi Keo Bong Da,
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây