Krypto-Malware Shikitega überlistet den herkömmlichen Linux-Schutz

Inhaltsverzeichnis

Sicherheitsforscher der AT&T Alien Labs haben eine neue Linux-Malware entdeckt und sie „Shikitega“ getauft. Gleichzeitig haben sie eine detaillierte Analyse der Stufen der Infektion und Einnistung der Schadsoftware veröffentlicht. Wegen deren flexiblen und mehrstufigen Aufbaus ist die Angriffserkennung schwierig. Shikitega verschafft sich Root-Zugriff und installiert den Krypto-Miner XMRig.

Mehrstufiger Aufbau

Der eigentliche Dropper der Linux-Malware ist ein Binärprogramm, das die Angreifer auf dem Zielrechner platzieren und ausführen. Dieses initiale Programm ist lediglich 370 Bytes groß. Alle weiteren Stufen werden erst über Command-and-Control-Server heruntergeladen und ausgeführt. Über den Weg der initialen Infektion macht die Analyse keine weiteren Angaben. Es ist davon auszugehen, dass Shikitega dazu vorhandene Sicherheitslücken von aus dem Internet erreichbaren Diensten für diesen ersten Schritt ausnutzt. Das können typischerweise auch Arbitrary-File-Upload- und Code-Injection-Lücken in Webseiten sein.

Das erste Programm der Infektionskette – wie auch das spätere Programm zum Download der Exploits – nutzt den polymorphen „Shikata Ga Nai“ XOR Additive Feedback Encoder. Dabei wird der zur Ausführung vorgesehene Code erst über mehrere Schleifen entpackt.

Im nächsten Schritt lädt die aktuelle Version der Malware den Meterpreter „Mettle“ herunter. Er ist ein Teil des Metasploit Penetration Testing Frameworks und eröffnet dem Angreifer eine große Auswahl weiterer Angriffsvektoren. So können beliebiger Code ausgeführt, Remote Shells geöffnet und Befehle über eine Kommandozeile ausgeführt werden. Der Zielrechner verbindet sich dabei über eine TLS-verschlüsselte (Transport Layer Security) Verbindung mit dem System des Angreifers und erhält dann weitere Befehle für individuelle Angriffe.

Lücken in polkit und overlayfs

Zusätzlich lädt Shikitega auch ein weiteres Programm in den Arbeitsspeicher des Zielsystems und führt es dort aus. Hier beobachteten die Forscher verschiedene Varianten. Zurzeit werden anfällige Installationen über Angriffe auf polkit (CVE-2021-4034) und das Linux Kernel Dateisystem „overlayfs“ unter Ubuntu (CVE-2021-3493) kompromittiert. Bereits im ersten Release von PolicyKit (inzwischen in polkit umbenannt) befand sich in „pkexec“ eine lokal ausnutzbare Sicherheitslücke, mit der ein Angreifer Root-Rechte erlangen konnten. Mit dem Release v.121 von polkit ist der Fehler behoben, entsprechende Patches wurden auch auf ältere Versionen zurückportiert und durch die Linux-Distributionen verteilt.

Auch über eine Lücke des Linux-Kernels unter Ubuntu können Angreifer sich lokal höhere Rechte verschaffen. Dazu muss der Kernel „overlayfs“ unterstützen, weshalb ein besonderes Augenmerk auf den Kernel-Versionen zwischen 3.13 und 5.14 liegt. Die Kombination eines Patches bei Ubuntu und des Codes im Linux-Kernels führen zu dem Fehlverhalten und der Entstehung der Lücke.

Einnistung und Ausführung mittels Cronjobs

Mit Root-Rechten ausgestattet, können Angreifer dann die dritte Stufe an Programmen in Form von Shell-Skripten und der XMRig Mining-Schadsoftware für die Kryptowährung Monero herunterladen. Sowohl für den aktuell angemeldeten Nutzer als auch für Root legen die heruntergeladenen Skripte Einträge für Cronjobs an. Diese Einträge sorgen dafür, dass die Mining-Schadsoftware als Prozess sshd mit Root-Rechten unter /var/tmp ausgeführt wird. Ist noch kein cron-Daemon installiert, holt die Malware das nach. Damit nicht mehrere Instanzen laufen, kommt im gleichen Verzeichnis eine Lock-Datei zum Einsatz. Shikitega löscht die Skripte nach der Infektion wieder. Das erschwert das Erkennen der Infektion.

Durch den Aufbau der Linux-Malware ist es für die Entwickler von Shikitega jederzeit möglich, sowohl Schadsoftware als auch Exploits anzupassen. Das könnte sowohl dazu dienen, eine Entdeckung mittels Signaturen zu umgehen, als auch dazu, die Zielsetzung der Infektion anzupassen. Auch durch den Austausch der genutzten Domains entstehen neue Signaturen für die geänderten Skripte und Programme.

Erschwerte Infektions-Erkennung

Es reicht damit nicht, dass Administratoren die Signaturen zur Erkennung integrieren und ihre Firewalls ergänzen. Derart abgesicherte Systeme stoßen bei Änderungen der Signaturen schnell an ihre Grenzen. Selbst ein Monitoring der Systeme mit hohen Lasten, etwa durch klassische Software wie Nagios, Munin oder Cockpit, könnte bei einem Wechsel der Schadsoftware ins Leere laufen. Regelmäßige, zeitnahe Aktualisierungen senken das Infektions-Risiko deutlich, ersetzen Wachsamkeit aber auch nicht.

Auf infizierten Maschinen findet sich unter /var/tmp die Datei „vm.lock“. AT&T Alien Labs listet eine Reihe von IOCs (Indicator of Compromise) für die einzelnen Programme, genutzten Domains und Exploits zur Angriffserkennung.

Zuverlässig bemerken kann man die Änderungen durch die Linux-Malware am System. An dieser Stelle setzen auch verschiedene lokale Intrusion-Detection-Lösungen wie AIDE an. Solche Änderungen am System entstehen auch auf legitime Art und Weise, seien es Aktualisierungen am System oder temporäre Dateien genutzter Anwendungen. Letzten Endes bleibt es also eine Aufgabe der Administration, durch regelmäßige Analysen solche Anomalien zeitnah aufzufinden und die richtigen Schlüsse zu ziehen.

(jvo)