Shikitega attackiert Linux

Die Malware mit dem Namen Shikitega zielt auf Endgeräte und Geräte des Internets der Dinge ab, die auf Linux-Betriebssystemen laufen. Sie wurde von Cybersecurity-Forschern der AT&T Alien Labs detailliert beschrieben.

Die Malware wird in einer mehrstufigen Infektionskette übertragen, bei der jedes Modul auf Befehle des vorherigen Teils der Nutzlast reagiert und das nächste herunterlädt und ausführt.

Durch das bitweise Herunterladen der Nutzdaten – beginnend mit einem Modul, das nur ein paar hundert Byte groß ist – kann Shikitega vermeiden, von Antiviren-Software entdeckt zu werden. Außerdem verwendet er einen polymorphen Kodierer, um seine Entdeckung zu erschweren.

Die Forscher stellen außerdem fest, dass die Hintermänner von Shikitega offenbar legitime Cloud-Dienste nutzen, um einige ihrer Command-and-Control-Server zu hosten.

Die anfängliche Infektionsmethode ist noch unbekannt, aber die Malware lädt nach und nach immer mehr Module herunter, um die volle Funktionalität zu erreichen, beginnend mit dem anfänglichen Dropper, der dann mehrere Stufen durchläuft – einschließlich des Herunterladens von Mettle, einem offensiven Sicherheitstool von Metasploit, mit dem der Angreifer eine breite Palette von Angriffen ausführen kann.

Dazu gehören die Kontrolle über Webcams, die Kontrolle über Prozesse, die Ausführung von Shell-Befehlen und vieles mehr. Die Möglichkeit, Shell-Befehle auszuführen, gibt den Angreifern die Möglichkeit, das System weiter auszunutzen – und es scheint, dass sie sich im Moment darauf konzentrieren.

Die Malware lädt weitere Module herunter und führt sie aus, die Schwachstellen in Linux ausnutzen, die dazu verwendet werden können, die Kontrolle über das kompromittierte System zu behalten.

Bei den Schwachstellen handelt es sich um CVE-2021-3493, ein Validierungsproblem im Linux-Kernel, das es Angreifern ermöglicht, sich erweiterte Rechte zu verschaffen, und CVE-2021-4034, eine hochgradig gefährliche Schwachstelle in polkit, das standardmäßig in Linux-Distributionen installiert ist.

Durch die Ausnutzung dieser Schwachstellen ist die Malware in der Lage, die letzte Stufe der Nutzlast mit Root-Rechten herunterzuladen und auszuführen, wodurch sie die vollständige Kontrolle über das System erlangen kann.

In dieser letzten Phase des Angriffs wird eine Krypto-Mining-Malware heruntergeladen, mit der die Angreifer die Leistung der infizierten Rechner ausnutzen können, um heimlich Kryptowährung zu schürfen – und zwar ohne Kosten für sie selbst. Obwohl dies im Moment der Schwerpunkt der Angriffe zu sein scheint, bedeutet das Ausmaß, in dem Shikitega die Kontrolle über die Systeme erlangt, dass es in Zukunft für weitere schädliche Angriffe genutzt werden könnte.

Linux ist ein nützliches Ziel für Cyber-Kriminelle, da es oft übersehen wird, wenn Unternehmen über Cybersicherheit nachdenken.  „Bedrohungsakteure finden Server, Endpunkte und IoT-Geräte, die auf Linux-Betriebssystemen basieren, immer wertvoller und finden neue Wege, um ihre bösartigen Nutzlasten zu übermitteln“, so Ofer Caspi, Malware-Forscher bei Alien Labs.

„Die Shikitega-Malware wird auf raffinierte Weise verbreitet, sie verwendet einen polymorphen Encoder und liefert ihre Nutzlast schrittweise, wobei jeder Schritt nur einen Teil der gesamten Nutzlast enthüllt“, fügte er hinzu.

Ein wichtiger Teil des Angriffsprozesses von Shikitega besteht darin, bekannte Schwachstellen auszunutzen, um vollständigen Zugang zu Linux-Systemen zu erlangen. Dies kann verhindert werden, indem sichergestellt wird, dass die entsprechenden Sicherheits-Patches für CVE-2021-3493 und CVE-2021-4034 installiert sind, und indem alle anderen veröffentlichten Updates schnellstmöglich angewendet werden.