Krypto-Malware Shikitega überlistet den herkömmlichen Linux-Schutz

Sicherheitsforscher der AT&T Alien Labs haben eine neue Linux-Malware entdeckt und sie „Shikitega“ getauft. Gleichzeitig haben sie eine detaillierte Analyse der Stufen der Infektion und Einnistung der Schadsoftware veröffentlicht. Wegen deren flexiblen und mehrstufigen Aufbaus ist die Angriffserkennung schwierig. Shikitega verschafft sich Root-Zugriff und installiert den Krypto-Miner XMRig.

Der eigentliche Dropper der Linux-Malware ist ein Binärprogramm, das die Angreifer auf dem Zielrechner platzieren und ausführen. Dieses initiale Programm ist lediglich 370 Bytes groß. Alle weiteren Stufen werden erst über Command-and-Control-Server heruntergeladen und ausgeführt. Über den Weg der initialen Infektion macht die Analyse keine weiteren Angaben. Es ist davon auszugehen, dass Shikitega dazu vorhandene Sicherheitslücken von aus dem Internet erreichbaren Diensten für diesen ersten Schritt ausnutzt. Das können typischerweise auch Arbitrary-File-Upload- und Code-Injection-Lücken in Webseiten sein.

Quelle: Krypto-Malware Shikitega überlistet den herkömmlichen Linux-Schutz | heise online