Vajon visszatér a polimorf vírusok és egyéb kártevők fénykora? Az AT&T kiberbiztonsági kutatói egy olyan rosszindulatú kódot fedeztek fel, amely linuxos végpontokat és IoT eszközöket támad. Célja, hogy tartós hozzáférést szerezzen, mert a fertőzött eszközt kriptobányászásra szeretné fogni – értelemszerűen minél hosszabb ideig.

A kutatók a Shikitega nevet adták a malware-nek, mert a kiberbűnözők a népszerű Shikata Ga Nai polimorfikus encoder segítségével hozták létre (akit ennek a működése részletesebben is érdekel, itt talál egy alapos kiberbiztonsági megközelítésű leírást.

A polimorf vagy alakváltó vírus nem új találmány. A 90-es évek egyik nagy újítása volt, ám a támadási eljárások változásával, finomodásával némileg háttérbe szorult. A vírus úgy védekezik a lebukás ellen, hogy időközönként mutálja magát valamilyen szisztéma szerint azzal, hogy dekódere mindig változik. Többféle technikát is alkalmaznak az ilyen kódokban: utasítás kicserélése egy másik, de ugyanolyan eredményt adóra, módosíthatók a használt regiszterek, fel lehet cserélni utasításokat, be lehet szúrni elterelő, de a működést nem befolyásoló kódrészleteket.

A Shikitega minden egyes alkalommal módosítja a kódját, amikor lefut a dekódolási ciklusai egyikén, írja elemzésében az AT&T kiberbiztonsági csoportja. A leírásból nem derül ki, hogy a malware hogyan kerül a megtámadott eszközre. A kutatók mindössze annyit árultak el, hogy a Shikitega a Linux két, már tavaly nyilvánosságra hozott sebezhetőségét használja ki, hogy a fertőzött eszközön telepíthesse és futtathassa az XMRig nevű kriptovaluta-bányász programot.

A Shikitega az eszközre letölt egy Mettle nevű Metasploit-értelmezőt, amely a támadónak lehetőséget ad a csatlakoztatott webkamerák vezérlésére. A Mettle emellett tartalmaz egy ún. sniffert, több fordított shellt, folyamatvezérlést, képes végrehajtani shell parancsokat, de egyéb képességekkel is rendelkezik, hogy a fertőzött rendszert irányíthassa.

Felhőalapú tárolókba is beköltözik

A Shikitega felhőalapú tárhelyekre is szívesen bekölzötik, hogy a hasznos terhelés egy részét ott tárolja. Ezek olyan elemek, melyeket később szintén saját jelenlétének az elfedésére használ azáltal, hogy nem a domainnéven, hanem az IP-címen keresztül lép kapcsolatba.

Az elemzés végén a kutatók nem adnak konkrét javaslatot a konkrét polimorf károkozó elleni védekezéshez. Tanácsaik nagyjából a "tartsuk szárazon a puskaport" szinten maradnak: legyenek telepítve a biztonsági javítások, legyen naprakész a végponti védelmet biztosító EDR (Endpoint Detection & Response) szoftver, és mindenki készítsen rendszeresen biztonsági mentéseket az alapvető rendszereiről.