Sicherheitsforscher der AT&T Alien Labs haben eine neue, gefährliche Linux-Malware namens Shikitega entdeckt.
Die Malware Shikitega folgt bei der Infektion einem komplexen Prozedere, was es erschwert, die Angriffe zu erkennen. Ihr Ziel ist es, Root-Zugriff auf dem attackierten System zu erlangen und dann den Krypto-Miner XMRig laufen zu lassen. Kurz zusammengefasst führt Shikitega zunächst einen Dropper-Code aus, lädt dann den Metasploit Meterpreter herunter, nutzt in der Folge eine Linux-Schwachstelle aus und richtet sich danach dauerhaft auf dem angegriffenen Rechner ein. Anschließend installiert sie den Krypto-Miner.
Die Infektion mit der Malware beginnt mit einem Binärprogramm (ELF-Datei), das auf dem zu infizierenden Rechner installiert wird. Das sehr kleine Programm (370 Bytes, davon 300 Bytes Shell-Code) führt die ersten Schritte zur Infektion des Systems aus. Das Programm für die folgenden Schritte wird dann, wie bei Malware üblich, via Command-and-Control-Server auf das System geladen. Die AT&T-Analyse [1] enthält keine Details dazu, wie die Malware die Binärdatei selbst auf das System bringt. Hierzu müssen die Angreifer höchstwahrscheinlich Sicherheitslücken des Systems ausnutzen. Das können beispielsweise Code-Injection-Schwachstellen oder auch Fehler in Datei-Upload-Mechanismen sein.
Die Malware greift auf verschiedene Techniken und Tools zurück, um die recht komplexe Schrittfolge des Angriffs abzuarbeiten. Sowohl das erste Programm zur Infektion des Systems als auch das Programm zum Download von Exploits verwenden den Shikata Ga Nai XOR Additive Feedback Encoder, um den gepackten Code zu entpacken und auszuführen. XOR Additive Feedback ist einer der populärsten Encoder von Metasploit. Die Malware nutzt polymorphen Code, um einer einfachen Detektion zu entgehen. Anschließend lädt sie den Meterpreter Mettle herunter. Mettle zählt zu den Komponenten des Metasploit Penetration Testing Frameworks. Damit kann die Malware eine Remote Shell via TLS (Transport Layer Security) aufbauen. So können Angreifer gezielt Befehle auf dem infizierten System ausführen.
Nach diesen ersten Schritten versucht die Malware, höhere Rechte auf dem System zu erlangen, im Idealfall Root-Zugriff. Dabei bedient sich Shikitega verschiedener bekannter Sicherheitslücken in Linux-Systemen. So nutzt es Schwachstellen in Polkit (CVE-2021-4034) und dem Linux-Kernel im OverlayFS-Dateisystem unter Ubuntu (CVE-2021-3493) aus. Sobald sich die Malware über eines dieser Sicherheitslecks Root-Rechte verschafft hat, lädt sie weitere Shell-Skripte und die Mining-Software XMRig für die Kryptowährung Monero auf das System herunter. Des Weiteren richtet sie vier Crontabs ein, zwei für den aktuell eingeloggten Benutzer und zwei für den Root-Account. Um sicherzustellen, dass nur eine Instanz auf dem System läuft, verwendet Shikitega den Flock-Befehl mit der Lock-Datei »/var/tmp/vm.lock«.
Die Malware benutzt für alle diese Aufgaben insgesamt fünf verschiedene Shell-Skripte. »unix.sh« prüft, ob bereits Crontabs angelegt sind. »brict.sh« und »politrict.sh« installieren den Krypto-Miner auf dem System. »truct.sh« und »restrict.sh« schließlich richten den Command-and-Control-Zugriff ein.
AT&T hat eine Liste von IOCs (Indicator of Compromise) veröffentlicht, um Infektionen zu erkennen. Zunächst findet sich auf infizierten Maschinen unter »/var/tmp« die Datei »vm.lock«. Die Command-and-Control-Verbindungen laufen über die Domains http://dash[.]cloudflare.ovh– und http://main[.]cloudfronts.net. Zusätzlich hat AT&T eine ganze Reihe von Hashes für die verschiedenen Komponenten der Malware veröffentlicht.
Malware- und Ransomware-Angriffe auf Linux-Systeme haben 2022 um fast 650 Prozent zugenommen. Laut AT&T erreichte die Linux-Angriffswelle dabei im ersten Halbjahr 2022 ihren Höchststand. Neben der neuen Shikitega-Malware haben sich auch BotenaGo und EnemyBot stark ausgebreitet. (jcb)





