Shikitega Malware-Erkennung: Führt mehrstufige Infektionskette aus, gewährt vollständige Kontrolle
Inhaltsverzeichnis:
Eine neue, heimtückische Linux-Malware namens Shikitega ist auf der Jagd nach ihren Opfern. Ihre Betreiber richten hochgradig ausweichende Angriffe ein und zielen auf Linux- und IoT-Geräte ab. Die Analyse der Shikitega-Malware zeigt, dass die Angreifer eine mehrstufige Infektionskette übernommen haben, um die volle Kontrolle über das kompromittierte System zu erlangen, Schwachstellen auszunutzen, Persistenz zu etablieren und zusätzliche Nutzlasten abzulegen, darunter ein Monero Miner.
Dieser Angriff spiegelt die zunehmende Anzahl der jüngsten Angriffe auf Linux-Geräte wider und ergänzt eine schnell wachsende Liste von Bedrohungen wie Syslogk, XorDdos, und BPFDoor.
Shikitega-Malware erkennen
Um Sicherheitspraktikern bei der Erkennung möglicher Angriffe mit neuer Linux-Malware zu helfen, hat Sittikorn Sangrattanapitak eine Regel veröffentlicht, die die Ausführung des Shikitega-Skripts erkennt:
Mögliche Shikitega-Stelth-Malware, die auf Linux-Systeme abzielt (über Prozesserstellung)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist auf das MITRE ATT&CK®-Framework v.10 abgestimmt und befasst sich mit den Taktiken Verteidigungsevasion und Ausführung mit verschleierten Dateien oder Informationen (T1027) und Systemdienste (T1569) als primäre Techniken.
SOC Prime hat die Art und Weise, wie Sicherheitsteams auf Bedrohungserkennungsinhalte zugreifen, revolutioniert. Wir nutzen die Kraft der kollaborativen Cyber-Verteidigung und arbeiten hart daran, eine grenzüberschreitende „Cyber-NATO“ zu ermöglichen, um aufkommenden Bedrohungen effektiv standzuhalten. Klicken Sie auf die Detektionen erkunden Schaltfläche unten, um sofort auf dedizierte Erkennungen zuzugreifen und direkt aus der Suchmaschine für Cyber-Bedrohungen ohne Registrierung in relevante Cyber-Bedrohungskontexte einzutauchen.
Shikitega-Malware-Analyse
Sicherheitsforscher von AT&T Alien Labs haben den neuen Malware-Stamm Anfang September dokumentiert. Wir wissen immer noch nicht, welchen Angriffsvektor die Bedrohungsakteure hinter der Shikitega-Malware verwenden. Sobald sich die Bedrohung im System befindet, ruft sie bösartige Nutzlasten von einem C2-Server ab und führt sie im Speicher aus. Die Malware setzt auch Metasploit’s ‘Mettle’ Meterpreter auf dem infizierten System ein, um Privilegien zu erhöhen und eine Vielzahl von Angriffen auszuführen. Shikitega verwendet einen polymorphen Encoder, um seine Chancen zu erhöhen, unter dem Radar zu bleiben und von Antivirenlösungen nicht erkannt zu werden.
Für das Kryptowährungs-Mining missbraucht die Shikitega-Malware einen legitimen XMRig Miner. Um ihn einzusetzen, nutzt die Malware zwei äußerst schwerwiegende Linux-Schwachstellen aus, CVE-2021-4034 und CVE-2021-3493.
Treten Sie der SOC Prime’s Detection as Code Plattform bei, um Zugriff auf den weltweit größten Pool an Erkennungsinhalten zu erhalten, der von renommierten Experten auf dem Gebiet erstellt wurde. Seien Sie versichert, dass Sie keine wichtigen Updates verpassen werden, da unsere SOC-Experten stets bemüht sind, alle neuesten Erkennungen zu veröffentlichen und schnell auf die neuesten Bedrohungen zu reagieren.
