Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   На Linux тестируют новое вредоносное ПО с интересными возможностями (http://txgate.io:443/showthread.php?t=11563)

Artifact 05-04-2025 03:26 PM

Новое вредоносное ПО невозможно обнаружить и устранить.
https://www.securitylab.ru/upload/ib...rr8jkwk69a.png
Исследователи AT&T обнаружили новое скрытное вредоносное ПО для Linux под названием Shikitega, которое нацелено на компьютеры и IoT - устройства и использует уязвимости повышения привилегий, чтобы запустить майнер криптовалюты Monero на зараженном устройстве.
Shikitega может уклоняться от антивирусного ПО с помощью полиморфного кодировщика, который делает невозможным статическое обнаружение на основе сигнатур.
Согласно отчету AT&T, вредоносное ПО использует многоступенчатую цепочку заражения, в которой каждый уровень доставляет всего несколько сотен байтов, активируя простой модуль, а затем переходит к следующему. То есть Shikitega постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки
Заражение начинается с ELF-файла размером 370 байт, содержащий закодированный шелл-код. Кодирование выполняется с использованием схемы кодирования полезной нагрузки Shikata Ga Nai .
Используя кодировщик, вредоносное ПО проходит через несколько циклов декодирования, где один цикл декодирует следующий уровень, пока не будет декодирована и выполнена окончательная полезная нагрузка шелл-кода.
После завершения расшифровки выполняется шелл-код, который связывается с C&C-сервером и получает дополнительные команды, хранящиеся и запускаемые непосредственно из памяти.
Одна команда загружает и выполняет Mettle , небольшую портативную полезную нагрузку Metasploit Meterpreter, которая дает хакеру дополнительные возможности удаленного управления и выполнения кода на хосте.
Mettle извлекает еще меньший ELF-файл, который использует CVE-2021-4034 (PwnKit) и CVE-2021-3493 для повышения привилегий до root-пользователя и загрузки криптомайнера
Постоянство для криптомайнера достигается путем удаления всех загруженных файлов, чтобы снизить вероятность обнаружения.
https://www.securitylab.ru/upload/im...t-img(419).png
Цепочка заражения Shikitega
Также для избежания обнаружения операторы Shikitega используют законные облачные службы хостинга для размещения своей C&C-инфраструктуры. Это подвергает операторов риску быть обнаруженными правоохранительными органами, но обеспечивает лучшую скрытность в скомпрометированных системах.
Команда AT&T порекомендовала администраторам применять доступные обновления безопасности, использовать EDR на всех конечных точках и регулярно делать резервные копии наиболее важных данных.


All times are GMT. The time now is 12:50 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.