Shikitega, un nouveau malware Linux difficile à détecter !
Un nouveau malware baptisé Shikitega a été découvert et il cible les ordinateurs sous Linux, ainsi que les appareils IoT avec un système basé sur Linux. Faisons le point sur cette nouvelle menace.
Le malware Shikitega exploite des vulnérabilités pour élever ses privilèges sur la machine infectée (CVE-2021-4034 correspondante à PwnKit et CVE-2021-3493), et pour être persistant sur la machine, il modifie la crontab (système de tâches planifiées sous Linux) du système. Il peut même aller jusqu'à déployer un logiciel de minage de cryptomonnaie (XMRig version 6.17.0) sur les appareils infectés. Sa particularité, c'est qu'il est relativement furtif et qu'il parvient à échapper à la détection des antivirus grâce à son encodeur polymorphe. Ainsi, il n'est pas possible de le détecter en s'appuyant sur une simple signature. Une nouvelle preuve que la détection par signature n'est pas suffisante et qu'il faut s'intéresser aux comportements.
Dans un rapport, les chercheurs en sécurité de chez AT&T, à l'origine de la découverte de ce malware, précisent : "Le malware Shikitega est diffusé de manière sophistiquée, il utilise un encodeur polymorphe et délivre progressivement sa charge utile, chaque étape ne révélant qu'une partie de la charge utile totale." - En effet, il s'avère que la chaîne d'infection est découpée en plusieurs étapes, et à chaque étape, une partie du logiciel malveillant est déployée. Par exemple, l'infection commence par un fichier ELF de 370 octets.
Pour donner lieu au shellcode malveillant qui sera exécuté au final sur la machine infectée, le malware passe par plusieurs boucles de décodage, où chaque boucle décode la couche suivante jusqu'à ce que la charge utile finale soit décodée, et donc reconstituée, afin d'être exécutée. Une fois en place, le malware Shikitega se connecte au serveur de commande et contrôle (C2) des pirates, dans le but de recevoir des commandes supplémentaires à exécuter. Par exemple, les pirates peuvent télécharger et exécuter Mettle sur l'hôte infecté, une version allégée et portable de Meterpreter, ce qui offre des options supplémentaires comme le contrôle à distance.
Au niveau de la crontab, le malware ajoute 4 tâches, 2 pour le super-utilisateur root et 2 autres pour l'utilisateur en cours. Voici le nom des scripts exécutés via la crontab : brict.sh, politrict.sh, truct.sh et restrict.sh. En complément, le script unix.sh est téléchargé et il sert à vérifier l'existence de la commande "crontab" : si elle n'est pas présente, il installe le paquet nécessaire et démarre le service.
Bien qu'il se concentre pour le moment sur le minage de la cryptomonnaie Monero, il n'est à exclure que le malware Shikitega soit utilisé à d'autres fins par la suite. Pour se protéger contre cette menace, il convient de maintenir à jour son système Linux et d'utiliser des outils de protection, notamment un EDR.