新型Linux恶意软件Shikitega

侯彬炳

一種名为Shikitega的新型Linux恶意软件，可利用多阶段感染链来针对端点和物联网设备。近日，据Security affairs的消息，AT&T Alien Labs的研究人员发现了一种新型隐形Linux恶意软件Shikitega，它以端点和物联网设备为目标实施多阶段感染，以达到能够完全控制系统并执行其他恶意活动，包括加密货币挖掘。

该恶意软件的主要释放器是一个非常小的ELF文件，其总大小仅约为370 byte，而其实际代码大小约为300 byte。专家报告称，Shikitega能够从C2服务器下载下一阶段的有效载荷并直接在内存中执行。通过利用Metasploit中最流行的编码器Shikata Ga Nai，恶意软件会运行多个解码循环，每一个循环解码下一层，直到最终的shellcode有效负载被解码并执行。

Shikitega利用CVE-2021-4034（PwnKit）和CVE-2021- 3493漏洞来提升权限，并在root权限执行的最后阶段保持持久性。

由于Shikitega使用多态编码器来逐步实现有效负载，其中每个步骤仅显示总有效负载的一部分。这一“低调”操作让Shikitega避免被反病毒引擎检测到。

除了Shikitega，近来在野外发现的Linux恶意软件正越发多样，包括BPFDoor，Symbiote，Syslogk，OrBit，Lightning Framework等。