- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Shikitega может уклоняться от антивирусного ПО с помощью полиморфного кодировщика, который делает невозможным статическое обнаружение на основе сигнатур.
Согласно отчету AT&T, вредоносное ПО использует многоступенчатую цепочку заражения, в которой каждый уровень доставляет всего несколько сотен байтов, активируя простой модуль, а затем переходит к следующему. То есть Shikitega постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки
Заражение начинается с ELF-файла размером 370 байт, содержащий закодированный шелл-код. Кодирование выполняется с использованием схемы кодирования полезной нагрузки Shikata Ga Nai .
Используя кодировщик, вредоносное ПО проходит через несколько циклов декодирования, где один цикл декодирует следующий уровень, пока не будет декодирована и выполнена окончательная полезная нагрузка шелл-кода.
После завершения расшифровки выполняется шелл-код, который связывается с C&C-сервером и получает дополнительные команды, хранящиеся и запускаемые непосредственно из памяти.
Одна команда загружает и выполняет Mettle , небольшую портативную полезную нагрузку Metasploit Meterpreter, которая дает хакеру дополнительные возможности удаленного управления и выполнения кода на хосте.
Mettle извлекает еще меньший ELF-файл, который использует CVE-2021-4034 (PwnKit) и CVE-2021-3493 для повышения привилегий до root-пользователя и загрузки криптомайнера
Постоянство для криптомайнера достигается путем удаления всех загруженных файлов, чтобы снизить вероятность обнаружения.
Также для избежания обнаружения операторы Shikitega используют законные облачные службы хостинга для размещения своей C&C-инфраструктуры. Это подвергает операторов риску быть обнаруженными правоохранительными органами, но обеспечивает лучшую скрытность в скомпрометированных системах.
Команда AT&T порекомендовала администраторам применять доступные обновления безопасности, использовать EDR на всех конечных точках и регулярно делать резервные копии наиболее важных данных.
