Theo các nhà nghiên cứu bảo mật tại AT&T Alien Labs (Hoa Kỳ) cho biết: “Tin tặc có thể giành toàn quyền kiểm soát hệ thống, bằng cách khai thác các để leo thang đặc quyền. Sau đó, một công cụ khai thác tiền điện tử (cryptocurrency miner) có thể được cài đặt vào các thiết bị đã lây nhiễm”. Shikitega sử dụng bộ mã hóa đa hình để tránh bị phát hiện bởi các và rất khó để thực hiện bất kỳ nỗ lực phân tích tĩnh hay dựa trên chữ ký nào của nó.
Mã độc Shikitega lây nhiễm thông qua việc kích hoạt một tệp gọi là “ELF”, hoạt động như trình thả Dropper (là một loại Trojan được thiết kế để cài đặt và kích hoạt một số vào hệ thống, có khả năng lẩn tránh các phần mềm diệt virus). Shikitega có dung lượng khá nhỏ, dung lượng đoạn mã chiếm khoảng 300 byte trong khi tổng kích thước của file khoảng 370 byte.
Hình 1. Cấu trúc file ELF
Sau khi được cài đặt trên máy chủ mục tiêu, chuỗi tấn công sẽ tải xuống và thực thi công cụ “Mettle” của Metasploit để tối đa hóa khả năng kiểm soát, khai thác các lỗ hổng để leo thang đặc quyền của nó, ngoài ra còn được kích hoạt thêm tính bền bỉ và linh hoạt trên máy chủ thông qua “crontab” - tiện ích dòng lệnh để lập lịch công việc trên hệ điều hành và cuối cùng khởi chạy trình khai thác tiền điện tử trên các thiết bị đã bị lây nhiễm.
Công cụ Mettle được cấu hình để tìm nạp một tệp ELF có dung lượng như trên và thực hiện khai thác các lỗ hổng CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493 để tiến hành leo thang đặc quyền, cho phép các tin tặc lạm dụng các quyền nâng cao để tìm nạp và thực thi các tập lệnh shell code giai đoạn cuối với các đặc quyền tối đa, để thiết lập tính bền vững và triển khai công cụ khai thác tiền điện tử Monero trên các thiết bị đã bị lây nhiễm.
Hình 2. Shell code thực thi bổ sung
Chuỗi lây nhiễm của Shikitega được thể hiện trong Hình 3 dưới đây, mục đích cuối cùng là tiến hành leo thang đặc quyền và cài đặt một số tiện ích bổ sung trên các thiết bị đã lây nhiễm.
Hình 3. Chuỗi lây nhiễm của Shikitega
Để lẩn tránh các phần mềm diệt virus, Shikitega sử dụng bộ mã hóa đa hình với tên gọi là “Shikata Ga Nai” (một trong những bộ mã hóa phổ biến nhất được sử dụng trong Metasploit) được thực thi cho quá trình mã hóa và sử dụng các dịch vụ đám mây hợp pháp cho địa chỉ C2 (Command and Control). Để giải mã dữ liệu, mã độc thực hiện một số vòng giải mã qua các phép XOR.
Hình 4. Chương trình giải mã file mã hóa thực thi
Shikitega cũng cho thấy xu hướng các tin tặc đang mở rộng phạm vi tấn công để phù hợp với hệ điều hành Linux được sử dụng rộng rãi trong các nền tảng đám mây và máy chủ trên toàn cầu, làm gia tăng các vụ lây nhiễm mã độc tống tiền LockBit và Cheerscrypt.
Để phòng tránh mã độc Shiketega, nhà nghiên cứu Ofer Caspi của AT&T Alien Labs đưa ra khuyến nghị các tổ chức cần đảm bảo rằng tất cả các thiết bị đầu cuối đều được cài đặt phần mềm diệt virus cũng như phần mềm EDR (Endpoint Detection & Response), các phần mềm luôn được cập nhật các bản vá bảo mật mới nhất. Quan trọng hơn là tổ chức cần thực hiện một chiến lược bảo mật mạnh mẽ, toàn diện.
Trương Đình Dũng
09:00 | 12/09/2022
13:00 | 07/02/2024
18:00 | 16/08/2022
12:00 | 25/08/2022
13:00 | 02/08/2022
15:00 | 26/07/2024
Ngày 20/7, cảnh sát Tây Ban Nha thông báo đã bắt giữ ba tin tặc được cho là thực hiện vụ tấn công mạng nhằm vào Tây Ban Nha và các nước thành viên khác trong Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) với các mục đích khủng bố.
17:00 | 19/07/2024
Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.
10:00 | 04/07/2024
Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024