Shikitega 악성코드 탐지: 다단계 감염 체인을 실행하여 완전한 제어 권한 부여

새로운 은밀한 Linux 멀웨어인 Shikitega가 피해자를 노리고 있습니다. 운영자는 Linux 및 IoT 기기를 타깃으로 하는 매우 회피적인 공격을 설정했습니다. Shikitega 멀웨어 분석은 적이 다단계 감염 체인을 채택하여 감염된 시스템을 완전히 제어하고, 취약점을 악용하고, 지속성을 수립하며, 추가 페이로드를 투입하는 것을 목표로 하고 있음을 보여줍니다. 그 중 하나가 Monero 채굴기입니다.

이 공격은 Linux 기기에 대한 최근 공격의 증가하는 양을 반영하며, Syslogk, XorDdos, BPFDoor, 와 같은 빠르게 증가하는 위협 목록에 추가됩니다..

Shikitega 멀웨어 탐지

보안 전문가가 새로운 Linux 멀웨어로 인한 가능성 있는 공격을 탐지할 수 있도록 돕기 위해, Sittikorn Sangrattanapitak 이 Shikitega 스크립트 실행을 탐지하는 규칙을 발표했습니다:

프로세스 생성에 의한 가능성 있는 Shikitega 은밀한 멀웨어 Linux 시스템 타깃

이 탐지는 다음과 같은 SIEM, EDR & XDR 플랫폼에 대한 변환이 포함되어 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, 및 AWS OpenSearch.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 방어 회피 및 실행 전술에 대해 난독화된 파일 또는 정보(T1027)와 시스템 서비스(T1569)를 주요 기술로 다룹니다.

SOC Prime은 보안 팀이 위협 탐지 콘텐츠에 접근하는 방식에 혁신을 가져왔습니다. 우리는 협력적인 사이버 방어의 힘을 활용하여, 신흥 위협에 효과적으로 저항할 수 있도록 크로스보더 ‘사이버 NATO’를 촉진하기 위해 열심히 노력하고 있습니다. 아래의 탐지 탐색 버튼을 클릭하여 Cyber Threats Search Engine에서 즉시 전용 탐지에 도달하고 관련 사이버 위협 컨텍스트에 등록 없이 직접 다이빙할 수 있습니다.

탐지 탐색  

Shikitega 멀웨어 분석

에 대한 보안 연구자들은 AT&T Alien Labs 는 이번 9월 초에 새로운 멀웨어 변종을 문서화했습니다. 우리는 아직 Shikitega 멀웨어 뒤에 있는 위협 행위자들이 사용하는 초기 침해 벡터를 알지 못합니다. 이 위협이 시스템에 들어오면, C2 서버에서 악성 페이로드를 가져와 메모리 내에서 실행합니다. 멀웨어는 또한 Metasploit의 ‘Mettle’ meterpreter를 감염된 시스템에 배포하여 권한 상승 및 다양한 공격을 실행합니다. Shikitega는 안티바이러스 솔루션에 의한 탐지를 회피하여 레이더 아래에서 날 수 있는 가능성을 높이기 위해 다형성 인코더를 사용합니다.

암호화폐 채굴을 위해, Shikitega 멀웨어는 합법적인 XMRig 채굴기를 악용합니다. 이를 배포하기 위해, 멀웨어는 두 가지 매우 심각한 Linux 취약점을 악용합니다. CVE-2021-4034 와 CVE-2021-3493입니다.

가입하여 SOC Prime의 Detection as Code 플랫폼에 가입하여 저명한 전문가들이 만든 세계 최대의 탐지 콘텐츠 풀에 접근하세요. 우리의 SOC 전문가들이 가장 최근의 탐지를 발표하기 위해 신속한 대응을 유지하고 있으므로 중요한 업데이트를 놓치지 않을 것을 확신하십시오.