Linux, un OS che trovo generalmente tedioso da exploitare (solo in caso sia di cattivo umore), è stato preso di mira da un nuovo attacco che consente di ottenere il pieno controllo dell'OS da remoto.
In seguito ad alcuni test effettuati localmente, posso confermare quanto comunicato da quest'articolo:
thehackernews.com
www.securityweek.com
Per sintetizzare il contenuto di questi due articoli, la main feature del malware è l'ottenimento dei privilegi di sessione di un amministratore attraverso l'exploiting di rispettivamente:
CVE-2021-4034
CVE-2021-3493
Queste due vulnerabilità consentono di fare sostanzialmente privilege escalation, e ottenere i permessi di root. Ottenere i permessi di root, significa:
1. Possibilità di accedere alle cartelle contenenti i file che consentono il corretto funzionamento del sistema, e apportare modifiche a piacimento. Cancellazione o modifica dei file contenuti in queste cartelle può comportare conseguenze fatali che variano da severe compromissioni dei programmi alla formattazione completa del dispositivo;
2. Possibilità di fare dumping degli hash delle password di sistema, e di quelle della rete wifi (qualora siano salvate);
Lo scopo degli attaccanti è solitamente quello di controllare un impianto ransomware nel dispositivo infettato, o talvolta di un impianto di coin-miner. Il controllo avviene per mezzo di un agent notoriamente conosciuto nel mondo dell'IT Security per il suo elevato impiego nelle operazioni di hacking etico, denominato Meterpreter. Quest'agent (che io adoro, grazie alla sua malleabilità) è la scelta preferita per operazioni di ethical hacking, poiché si tratta di un malware headless, e cioè incapace di operare autonomamente nella fase di post-exploitation. Sfortunatamente, Meterpreter è anche vittima di script kiddies e di morti di fame, come quelli che stanno controllando questi impianti ransomware.
Per quanto riguarda la feature davvero più preoccupante, è l'abilità del malware di bypassare molti AV. Sono pochi i tool di sicurezza che hanno rilevato e bloccato la minaccia in tempo reale. I metodi di dffusione purtroppo, non sono stati ancora chiariti, è opportuno tenersi aggiornati. Dato che di prassi, un malware è un file che viene aperto involontariamente, i principali metodi potrebbero essere le tecniche di truffa, ma non è da escludere che possa essere trasmesso attraverso RCE exploit, che si presentano solo qualora nel target OS vi siano vulnerabilità critiche, come BlueKeep (è di Windows, ma la cito solo per dare l'idea).
In seguito ad alcuni test effettuati localmente, posso confermare quanto comunicato da quest'articolo:
New Stealthy Shikitega Malware Targeting Linux Systems and IoT Devices
Researchers discover a new stealthy malware, dubbed Shikitega, that targets Linux-based systems and IoT devices via a multi-stage infection chain.
thehackernews.com
New 'Shikitega' Linux Malware Grabs Complete Control of Infected Systems | SecurityWeek.Com
Security researchers with AT&T Alien Labs are warning of a new piece of malware that can take full control of infected Linux systems, including Internet of Things (IoT) devices.
Per sintetizzare il contenuto di questi due articoli, la main feature del malware è l'ottenimento dei privilegi di sessione di un amministratore attraverso l'exploiting di rispettivamente:
CVE-2021-4034
CVE-2021-3493
Queste due vulnerabilità consentono di fare sostanzialmente privilege escalation, e ottenere i permessi di root. Ottenere i permessi di root, significa:
1. Possibilità di accedere alle cartelle contenenti i file che consentono il corretto funzionamento del sistema, e apportare modifiche a piacimento. Cancellazione o modifica dei file contenuti in queste cartelle può comportare conseguenze fatali che variano da severe compromissioni dei programmi alla formattazione completa del dispositivo;
2. Possibilità di fare dumping degli hash delle password di sistema, e di quelle della rete wifi (qualora siano salvate);
Lo scopo degli attaccanti è solitamente quello di controllare un impianto ransomware nel dispositivo infettato, o talvolta di un impianto di coin-miner. Il controllo avviene per mezzo di un agent notoriamente conosciuto nel mondo dell'IT Security per il suo elevato impiego nelle operazioni di hacking etico, denominato Meterpreter. Quest'agent (che io adoro, grazie alla sua malleabilità) è la scelta preferita per operazioni di ethical hacking, poiché si tratta di un malware headless, e cioè incapace di operare autonomamente nella fase di post-exploitation. Sfortunatamente, Meterpreter è anche vittima di script kiddies e di morti di fame, come quelli che stanno controllando questi impianti ransomware.
Per quanto riguarda la feature davvero più preoccupante, è l'abilità del malware di bypassare molti AV. Sono pochi i tool di sicurezza che hanno rilevato e bloccato la minaccia in tempo reale. I metodi di dffusione purtroppo, non sono stati ancora chiariti, è opportuno tenersi aggiornati. Dato che di prassi, un malware è un file che viene aperto involontariamente, i principali metodi potrebbero essere le tecniche di truffa, ma non è da escludere che possa essere trasmesso attraverso RCE exploit, che si presentano solo qualora nel target OS vi siano vulnerabilità critiche, come BlueKeep (è di Windows, ma la cito solo per dare l'idea).
