Das Symbol der von Shikitega anvisierten Kryptowährung Monero
Das Symbol der von Shikitega anvisierten Kryptowährung Monero
Bildquelle: albund, Lizenz

Shikitega Malware verteilt Monero-Miner auf Linux-Geräte

Eine neue Linux-Malware mit dem Namen Shikitega missbraucht Server und IoT-Geräte für Monero-Mining über XMRig.

Forscher von AT&T haben eine neue Linux-Malware mit dem Namen Shikitega entdeckt, die es auf Server und IoT-Geräte abgesehen hat. Unter Ausnutzung von Schwachstellen verschafft sie sich höhere Rechte und startet auf infizierten Geräten schließlich einen Monero-Miner. Dabei geht die Malware ziemlich unauffällig vor und umgeht durch einen polymorphen Encoder die signaturbasierte Erkennung gängiger Antivirenprogramme.

Shikitega nutzt einen polymorphen Encoder und entfaltet sich schrittweise

Laut dem Bericht der AT&T-Forscher verwendet Shikitega eine mehrstufige Infektionskette. „Die Shiketega-Malware wird auf raffinierte Weise verbreitet, sie verwendet einen polymorphen Encoder und liefert nach und nach ihre Nutzlast, wobei jeder Schritt nur einen Teil der gesamten Nutzlast enthüllt„, teilen die Sicherheitsexperten mit. Den Start macht dabei eine gerade einmal 370 Byte große ELF-Datei, die verschlüsselten Shellcode enthält und als Dropper fungiert.

Der bereits 2019 von Mandiant analysierte Encoder mit dem Namen „Shikata Ga Nai“ sorgt für die Verschlüsselung.

„Mit Hilfe des Encoders durchläuft die Malware mehrere Decodierschleifen, wobei eine Schleife die nächste Schicht decodiert, bis die endgültige Shellcode-Nutzlast decodiert und ausgeführt wird. Der Encoder-Stud wird auf der Grundlage einer dynamischen Befehlssubstitution und einer dynamischen Blockanordnung erzeugt. Darüber hinaus werden die Register dynamisch ausgewählt.“

AT&T Forscher

Mettle öffnet die Tür für den Monero-Miner XMRig

Durch Ausführung des entschlüsselten Shellcodes kontaktiert Shikitega die Command-and-Control-Server (C2), um zusätzlichen Shellcode abzurufen und auszuführen. Dabei wird unter anderem der Meterpreter Mettle heruntergeladen, der dem Angreifer zusätzliche Möglichkeiten der Fernsteuerung und Codeausführung liefert.

Eine weitere via Mettle abgerufene ELF-Datei nutzt anschließend CVE-2021-4034 und CVE-2021-3493 aus, um weitreichende Berechtigungen zu erlangen und schließlich den Krypto-Miner XMRig in der Version 6.17.0 als Root herunterzuladen. Dieser ist dann für das Mining des anonymen und schwer zurückverfolgbaren Monero vorgesehen. Es ist jedoch durchaus denkbar, dass Angreifer Shikitega in Zukunft auch für andere Nutzlasten einsetzen.

Angriffe auf Linux-Systeme häufen sich – und erfordern Maßnahmen

Als Sicherheitsmaßnahmen für Systemadministratoren, um sich vor Malware wie Shikitega zu schützen, empfehlen die AT&T Forscher, Systeme durch Sicherheitsupdates immer aktuell zu halten. Außerdem sei es nützlich, EDR (Endpoint Detection and Response) sowie Antivirenprogramme zu verwenden sowie Dateien durch regelmäßige Backups zu sichern.

Mit zunehmender Verbreitung geraten Linux-Systeme immer mehr in den Fokus von Cyberkriminellen. Schließlich sind es oftmals schlecht gesicherte und kaum überwachte IoT-Geräte oder besonders leistungsfähige Server, die von diesem Betriebssystem Gebrauch machen. Erstere sind oftmals besonders leicht hackbar, Zweitere bieten enorme Rechenleistung, die sich lukrativ einsetzen lässt. Erst kürzlich nahmen wir Lightning, ein neues Malware-Framework für Linux, genauer unter die Lupe.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.