Shikitega マルウェア検出: マルチステージ感染チェーンを実行し、完全な制御を取得

新しいステルス型Linuxマルウェア「Shikitega」が被害者を狙っています。その運営者はLinuxおよびIoTデバイスを標的とし、高度に回避的な攻撃を仕掛けています。Shikitegaのマルウェア分析によると、攻撃者は多段階の感染チェーンを採用し、システムの完全制御を達成し、脆弱性を悪用し、持続性を確立し、追加のペイロードを投下することを目指しています。 Monero マイナー。

この攻撃は、Linuxデバイスに対する最近の攻撃の増加を反映しており、 Syslogk, XorDdos、および BPFDoor.

Shikitegaマルウェアの検出

新しいLinuxマルウェアによる可能性のある攻撃を見つけるためにセキュリティ専門家を支援するために、 Sittikorn Sangrattanapitak がShikitegaスクリプトの実行を検出するルールを公開しました:

Linuxシステムを狙ったShikitegaステルスマルウェアの可能性（プロセス作成を経由）

この検出は次のSIEM、EDR および XDR プラットフォームに翻訳されています: Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、SentinelOne、Graylog、Regex Grep、CrowdStrike、Microsoft PowerShell、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Snowflake、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、および AWS OpenSearch。

このルールは MITRE ATT&CK® framework v.10と一致し、難読化されたファイルまたは情報 (T1027) とシステムサービス (T1569) を主要な技術として防御回避と実行の戦術に対応しています。

SOC Primeは、セキュリティチームが脅威検出のコンテンツにアクセスする方法を革命的に変えました。私たちは共同サイバー防衛の力を活用し、新たな脅威に効果的に耐えるための越境「サイバーNATO」の促進に向けて努力しています。「 検出の探求 」ボタンをクリックすると、専用の検出にすぐにアクセスし、サイバー脅威の関連コンテキストに登録不要で直接アクセスできます。

検出の探求  

Shikitegaマルウェア分析

セキュリティ研究者は、 AT&T Alien Labs がこの新しいマルウェア株を今年9月に文書化しました。Shikitegaマルウェアの背後にいる脅威者が初期の妥協にどのベクトルを使用するかはまだわかりません。脅威がシステムに侵入すると、C2サーバーから悪意のあるペイロードを取得し、メモリ内で実行します。また、マルウェアは感染したシステムにMetasploitの「Mettle」メータープリーターを展開して特権を昇格させ、多様な攻撃を実行します。Shikitegaは多様顕体エンコーダを使用してウイルス対策ソリューションによる検出を回避しやすくしています。

仮想通貨マイニングのために、Shikitegaマルウェアは正当な XMRig マイナーを悪用します。それを展開するために、マルウェアは2つの非常に重大なLinuxの脆弱性、 CVE-2021-4034 および CVE-2021-3493を悪用します。

参加する SOC PrimeのDetection as Code プラットフォームに参加して、分野の著名な専門家が作成した世界最大の検出コンテンツプールへのアクセスを解除しましょう。重要な更新を見逃すことはありませんのでご安心ください。SOCの専門家は、すべての最新の検出を公開することに努め、最新の脅威への迅速な対応を維持します。