隠れるのが上手なShikitega

Shikitegaは検出回避のための機構が多く盛り込まれた暗号資産マイナーマルウェアです。

• 明らかになっていない初期感染
  現時点ではまだ初期の感染方法については明らかになっていません。
• 非常に小さなバイナリから始まる
  侵入行為は何段階かに分割して実施されます。
  その最初のほうの段階で活動する悪意のあるバイナリの大きさは、わずか370バイトしかありません。
  この段階では、この悪意のあるコードはペネトレーションテストソフトウエアであるMetasploitの一部のmeterpreterのダウンロードと実行を実施します。
• 暗号化された悪意あるコード
  次の段階以降の悪事を働くコードがリモートから持ってこられて実行されます。
  しかしそのもってくるものはそのままでは動作しません。
  復号化して利用します。
  Metasploitに含まれるshikata_ga_naiという名称のエンコーダで暗号化されています。
  この機構を複数回使用して符号化することで、動作環境でアンチウイルス機構に検出される可能性を減らすことを狙ったものと考えられます。
  エンコードしたから検出されなくなるということは期待できないのですが、検出の可能性は確実に低下するものと考えられます。
• 悪意のあるコードは/bin/shを開始する
  デコードされた悪意あるコードはシェルを実行します。
  この実行のためのコードはメモリ上にしか存在しない状態で活動します。
  ファイルにのみ注意する機構では検出することは容易ではないと考えられます。
  この時点ではまだ特権は有していません。
• 特権昇格する
  実行を開始したシェルを特権昇格させます。
  特権昇格にはシステムの脆弱性が悪用されます。
  現在悪用が確認されているのは、CVE-2021-4034とCVE-2021-3493です。
• 永続化の実現
  マルウェアは5つのshell scriptをダウンロードし、cronで定期実行されるように仕掛けます。
  永続化の手配が完了したら、ここまでに使用したファイルとなっているものをシステムから削除します。
  最低限のものだけ残して隠れようということのようです。
• マイニング
  悪意あるコードはMonero暗号通貨の人気のあるマイナーであるXMRigマイナーをダウンロードして実行します。
  このマイナー部分も永続化機構の中で取得して実行されるように構成されています。

このマルウェアは現在2つの脆弱性を悪用することが確認されています。
そのうちの一つはPwnKitと呼ばれるものです。
CVE番号だけではピンとこなくても名前を見ると思いだされる方も多いのではないでしょうか。
2022年の最初のあたりに大きな話題となったものです。
この脆弱性を悪用しています。
侵入されてしまったとしても、この脆弱性が対策済みだったらどうでしょう。
このマルウェアの最終目的までは到達されてしまわないのではないでしょうか。

改めて、できる運用は確実に積み重ねていこうと思いました。

参考記事（外部リンク）：Shikitega – New stealthy malware targeting Linux
cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux