Malware Linux é a nova tendência

12/09/2022 mindsecblog Notícias 0

Malware Linux é a nova tendência. Shikitega é indicativo de uma tendência de cibercriminosos desenvolverem malware para Linux.

Malware Linux de última geração assume dispositivos de IoT e endpoint e explora vulnerabilidades e permite acesso remoto.

O malware Shikitega assume o controle de dispositivos de IoT e endpoint, explora vulnerabilidades, usa codificação avançada, abusa de serviços de nuvem para C2, instala um criptominerador e permite controle remoto total.

Um malware focado no Linux, chamado Shikitega, surgiu para atingir endpoints e dispositivos da Internet das Coisas (IoT) com uma cadeia de infecção exclusiva e de vários estágios que resulta na aquisição total do dispositivo e em um criptominerador.

Pesquisadores da AT&T Alien Labs que detectaram o código incorreto disseram que o fluxo de ataque consiste em uma série de módulos. Cada módulo não apenas baixa e executa o próximo, mas cada uma dessas camadas serve a um propósito específico, de acordo com uma postagem de terça-feira da Alien Labs.

Por exemplo, um módulo instala o “Mettle” Meterpreter do Metasploit , que permite que os invasores maximizem seu controle sobre as máquinas infectadas com a capacidade de executar código shell, assumir webcams e outras funções e muito mais. Outro é responsável por explorar duas vulnerabilidades do Linux ( CVE-2021-3493 e CVE-2021-4034 ) para alcançar o escalonamento de privilégios como root e alcançar a persistência; e ainda outro executa o conhecido cryptominer XMRig para mineração de Monero.

Outras capacidades notáveis no malware incluem o uso do codificador polimórfico “Shikata Ga Nai” para impedir a detecção por mecanismos antivírus; e o abuso de serviços de nuvem legítimos para armazenar servidores de comando e controle (C2s). De acordo com a pesquisa, os C2s podem ser usados para enviar vários comandos de shell para o malware, permitindo que os invasores tenham controle total sobre o alvo.

Exploits de malware do Linux em ascensão

Shikitega é indicativo de uma tendência de cibercriminosos desenvolverem malware para Linux – a categoria disparou nos últimos 12 meses, disseram pesquisadores da Alien Labs, atingindo 650%.

A incorporação de explorações de bugs também está aumentando, acrescentaram.

“Os agentes de ameaças encontram servidores, endpoints e dispositivos IoT baseados em sistemas operacionais Linux cada vez mais valiosos e encontram novas maneiras de entregar suas cargas maliciosas”, de acordo com a publicação. “Novos malwares como BotenaGo e EnemyBot são exemplos de como os criadores de malware incorporam rapidamente vulnerabilidades descobertas recentemente para encontrar novas vítimas e aumentar seu alcance.”

Em uma nota relacionada, o Linux também está se tornando um alvo popular para ransomware: um relatório da Trend Micro esta semana identificou um aumento de 75% nos ataques de ransomware direcionados a sistemas Linux no primeiro semestre de 2022 em comparação com o mesmo período do ano passado.

Como se proteger contra infecções por Shikitega

Terry Olaes, diretor de engenharia de vendas da Skybox Security, disse que, embora o malware possa ser novo, as defesas convencionais ainda serão importantes para impedir infecções por Shikitega.

“Apesar dos novos métodos usados pelo Shikitega, ele ainda depende da arquitetura testada e comprovada, C2 e acesso à Internet, para ser totalmente eficaz“, disse ele em comunicado fornecido ao Dark Reading. “Os administradores de sistemas precisam considerar o acesso de rede apropriado para seus hosts e avaliar os controles que governam a segmentação. Ser capaz de consultar um modelo de rede para determinar onde existe acesso à nuvem pode ajudar bastante a entender e mitigar o risco de ambientes críticos.“

Além disso, dado o foco que muitas variantes do Linux colocam na incorporação de explorações de bugs de segurança, ele aconselhou as empresas a, é claro, se concentrarem na correção. Ele também sugeriu incorporar um processo personalizado de priorização de patches, o que é mais fácil falar do que fazer .

“Isso significa adotar uma abordagem mais proativa ao gerenciamento de vulnerabilidades, aprendendo a identificar e priorizar vulnerabilidades expostas em todo o cenário de ameaças“, disse ele. “As organizações devem garantir que tenham soluções capazes de quantificar o impacto comercial dos riscos cibernéticos com fatores de impacto econômico. Isso as ajudará a identificar e priorizar as ameaças mais críticas com base no tamanho do impacto financeiro, entre outras análises de risco, como exposição pontuações de risco baseadas.“

Ele acrescentou: “Eles também devem aprimorar a maturidade de seus programas de gerenciamento de vulnerabilidades para garantir que possam descobrir rapidamente se uma vulnerabilidade os afeta ou não, quão urgente é remediar e quais opções existem para essa remediação“.