这种隐蔽的Linux恶意软件开始时规模很小但逐渐取得控制权

一种隐蔽的新型恶意软件以Linux系统为目标进行攻击，可以完全控制受感染的设备——它正在使用这种访​​问权限来安装加密挖掘恶意软件。

该恶意软件被称为Shikitega，其目标是在Linux操作系统上运行的端点和物联网设备，并且已由AT&TAlienLabs的网络安全研究人员进行了详细说明。

该恶意软件在多阶段感染链中传播，其中每个模块响应来自有效负载前一部分的命令，并下载并执行下一部分。

通过一点一点地下载有效载荷——从一个只有几百字节的模块开始——Shikitega可以避免被反病毒软件发现。它还使用多态编码器使其更难检测。

研究人员还注意到，Shikitega背后的人似乎滥用合法的云服务来托管他们的一些命令和控制服务器。

最初的感染方法仍然未知，但恶意软件逐渐下载越来越多的模块以提供完整的功能，从最初的植入程序开始，然后经历几个阶段——包括下载Mettle，一种Metasploit攻击性安全工具，它允许攻击者部署范围广泛的攻击。

其中包括控制网络摄像头、控制进程、执行shell命令等。运行shell命令的能力为攻击者提供了进一步利用系统的能力——这似乎是他们目前关注的重点。

该恶意软件会下载并执行更多利用Linux漏洞的模块，这些模块可用于实现对受感染系统的持久性和控制。

这些漏洞是CVE-2021-3493，这是Linux内核中的一个验证问题，允许攻击者获得提升的特权;CVE-2021-4034，是polkit中的一个高严重性内存损坏漏洞，它默认安装在Linux发行版中。

通过利用这些漏洞，恶意软件能够以root权限下载和执行有效载荷的最后阶段，从而提供完全控制系统的能力。

攻击的最后阶段会下载加密货币挖掘恶意软件，这使攻击者可以利用受感染机器的力量秘密挖掘加密货币——他们自己无需付出任何代价。虽然这似乎是目前攻击的重点，但Shikitega获得的对系统的控制量意味着它可以在未来用于更具破坏性的攻击。

Linux是网络罪犯的一个有用目标，因为当企业考虑网络安全时，它往往会被忽视。

AlienLabs的恶意软件研究员OferCaspi表示：“威胁行为者发现基于Linux操作系统的服务器、端点和物联网设备越来越有价值，并找到了传递其恶意负载的新方法。”

“Shikitega恶意软件以一种复杂的方式传递，它使用多态编码器，并逐渐传递其有效载荷，其中每一步只显示总有效载荷的一部分，”他补充道。

Shikitega攻击过程的一个关键部分是利用已知漏洞来帮助获得对Linux系统的完全访问权限;这可以通过确保已应用适用于CVE-2021-3493和CVE-2021-4034的适当安全补丁，以及迅速应用已发布的任何其他更新来防止。