Detecção de Malware Shikitega: Executa Cadeia de Infecção em Multiplas Etapas, Concede Controle Total
Índice:
Um novo malware furtivo para Linux chamado Shikitega está à espreita de suas vítimas. Seus operadores configuram ataques altamente evasivos, visando dispositivos Linux e IoT. A análise do malware Shikitega mostra que os adversários adotaram uma cadeia de infecção em várias etapas, visando obter controle total do sistema comprometido, explorar vulnerabilidades, estabelecer persistência e implantar cargas adicionais, incluindo um minerador de Monero.
Este ataque reflete a crescente quantidade de ataques recentes a dispositivos Linux, adicionando à lista rapidamente crescente de ameaças como Syslogk, XorDdos, e BPFDoor.
Detectar Malware Shikitega
Para ajudar os profissionais de segurança a identificarem possíveis ataques com novo malware para Linux, Sittikorn Sangrattanapitak lançou uma regra que detecta a execução do script Shikitega:
Possível Malware Furtivo Shikitega Alvejando Sistema Linux (via criação de processo)
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
A regra está alinhada com o framework MITRE ATT&CK® v.10, abordando as táticas de Evasão de Defesa e Execução com Arquivos ou Informações Ofuscadas (T1027) e Serviços do Sistema (T1569) como as principais técnicas.
A SOC Prime revolucionou a maneira como as equipes de segurança acessam conteúdo de detecção de ameaças. Aproveitamos o poder da defesa cibernética colaborativa, trabalhando arduamente para facilitar uma “OTAN Cibernética” transfronteiriça para resistir efetivamente a ameaças emergentes. Clique no botão Explorar Detecções abaixo para acessar instantaneamente detecções dedicadas e mergulhar em contextos relevantes de ameaças cibernéticas sem registro diretamente do mecanismo de busca de Ameaças Cibernéticas.
Análise do Malware Shikitega
Pesquisadores de segurança do AT&T Alien Labs documentaram a nova cepa de malware no início deste setembro. Ainda não sabemos o vetor de compromisso inicial empregado pelos agentes da ameaça por trás do malware Shikitega. Uma vez que a ameaça está no sistema, ela busca cargas maliciosas de um servidor C2 e as executa na memória. O malware também implanta o meterpreter ‘Mettle’ do Metasploit no sistema infectado para elevar privilégios e executar uma ampla gama de ataques. O Shikitega utiliza um codificador polimórfico para aumentar suas chances de passar despercebido, evadindo a detecção por soluções antivírus.
Para a mineração de criptomoedas, o malware Shikitega abusa de um minerador XMRig legítimo. Para implantá-lo, o malware explora duas vulnerabilidades altamente graves do Linux, CVE-2021-4034 e CVE-2021-3493.
Junte-se à plataforma Detecção como Código da SOC Prime para desbloquear o acesso ao maior pool de conteúdo de detecção criado por especialistas renomados na área. Tenha certeza de que você não perderá nenhuma atualização importante, pois nossos especialistas da SOC se esforçam para publicar todas as últimas detecções, mantendo uma resposta rápida às últimas ameaças.
