un logiciel malveillant combine une furtivit inhabituelle avec une suite complte de fonctions, les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus lev

Dcouverte de Symbiote, un malware Linux extrmement dangereux et presque impossible dtecter Il existe depuis au moins novembre 2021 et semble avoir t dvelopp pour cibler le secteur financier



Jusqu’ rcemment, en comparaison avec Windows, les dfenseurs du systme dexploitation Linux se complimentaient dtre largement ignors par les cybercriminels. Cependant, les nouvelles donnes montrent que les tendances des cyberattaques sont en train de changer. Selon les donnes prsentes par l’quipe d’Atlas VPN, le nombre de nouveaux logiciels malveillants Linux a atteint un niveau record au premier semestre 2022, puisque prs de 1,7 million d’chantillons ont t dcouverts. Cette semaine, des chercheurs ont dvoil une nouvelle souche de logiciel malveillant Linux qui se distingue par sa furtivit et sa sophistication dans l’infection des serveurs traditionnels et des petits appareils de l’Internet des objets.

Par rapport la mme priode de l’anne dernire, o 226 324 chantillons ont t dcouverts, le nombre de nouveaux logiciels malveillants Linux a explos de prs de 650 %. Si l’on examine le nombre de nouveaux chantillons de logiciels malveillants Linux trimestre par trimestre, au premier trimestre de cette anne, il a baiss de 2 %, passant de 872 165 au quatrime trimestre 2021 854 688 au premier trimestre 2022. Au deuxime trimestre, les chantillons de logiciels malveillants ont nouveau diminu, cette fois de 2,5 %, pour atteindre 833 059.

Echantillons de logiciels malveillants Linux par trimestre (2021 – S1 2022)

Cette semaine, des chercheurs ont dvoil une nouvelle souche de logiciel malveillant Linux qui se distingue par sa furtivit et sa sophistication dans l’infection des serveurs traditionnels et des petits appareils de l’Internet des objets. Baptis Shikitega par les chercheurs d’AT&T Alien Labs qui l’ont dcouvert, ce logiciel malveillant est diffus par le biais d’une chane d’infection en plusieurs tapes utilisant un codage polymorphe. Il utilise galement des services de cloud lgitimes pour hberger des serveurs de commande et de contrle. Ces lments rendent la dtection extrmement difficile.

Les acteurs de la menace continuent de chercher de nouvelles faons de diffuser des logiciels malveillants pour rester sous le radar et viter la dtection , a crit Ofer Caspi, chercheur aux AT&T Alien Labs. Le logiciel malveillant Shikitega est livr de manire sophistique, il utilise un encodeur polymorphe, et il livre progressivement sa charge utile o chaque tape ne rvle qu’une partie de la charge utile totale. En outre, le malware abuse de services d’hbergement connus pour hberger ses serveurs de commande et de contrle.

  • Le logiciel malveillant tlcharge et excute le meterpreter « Mettle » de Metasploit pour maximiser son contrle sur les machines infectes ;
  • Shikitega exploite les vulnrabilits du systme pour obtenir des privilges levs, persister et excuter le crypto miner ;
  • Le malware utilise un encodeur polymorphe pour le rendre plus difficile dtecter par les moteurs antivirus ;
  • Shikitega abuse des services lgitimes de cloud computing pour stocker certains de ses serveurs de commande et de contrle (C&C).

Shikitega operation process

Le logiciel malveillant tlcharge et excute ‘Mettle’, un compteur-prteur Metasploit qui permet l’attaquant d’utiliser une large gamme d’attaques telles que le contrle de la webcam, le renifleur, plusieurs shells inverss (tcp/http..), le contrle du processus, l’excution de commandes shell et plus encore. En outre, le logiciel malveillant utilise wget pour tlcharger et excuter le dropper de l’tape suivante.

Il s’agit d’une implmentation d’un Meterpreter en code natif, conu pour la portabilit, l’embarquabilit et la faible utilisation des ressources. Il peut fonctionner sur les plus petites cibles Linux embarques jusqu’au gros fer, et cible Android, iOS, macOS, Linux et Windows, mais peut tre port sur presque tout environnement compatible POSIX.

De nouveaux logiciels malveillanst comme BotenaGo et EnemyBot illustrent la faon dont les auteurs de malwares intgrent rapidement les vulnrabilits rcemment dcouvertes pour trouver de nouvelles victimes et accrotre leur porte. Shikitega utilise une chane d’infection en plusieurs couches, dont la premire ne contient que quelques centaines d’octets, et chaque module est responsable d’une tche spcifique, depuis le tlchargement et l’excution du meterpreter de Metasploit, l’exploitation des vulnrabilits de Linux, la mise en place de la persistance dans la machine infecte jusqu’au tlchargement et l’excution d’un cryptomineur.

Le dropper principal du logiciel malveillant est un trs petit fichier ELF, dont la taille totale est d’environ 370 octets seulement, alors que la taille relle de son code est d’environ 300 octets. Le logiciel malveillant utilise l’encodeur polymorphe XOR rtroaction additive Shikata Ga Nai, qui est l’un des encodeurs les plus populaires utiliss dans Metasploit. l’aide de cet encodeur, le logiciel malveillant passe par plusieurs boucles de dcodage, o une boucle dcode la couche suivante, jusqu’ ce que la charge utile finale du shellcode soit dcode et excute. Le goujon de l’encodeur est gnr sur la base de la substitution dynamique des instructions et de l’ordonnancement dynamique des blocs. De plus, les registres sont slectionns dynamiquement.

Aprs plusieurs boucles de dchiffrement, le code shell de la charge utile finale sera dchiffr et excut. Comme le logiciel malveillant n’utilise aucun import, il utilise int 0x80 pour excuter le syscall appropri. Comme le code principal du dropper est trs petit, le malware tlchargera et excutera des commandes supplmentaires partir de sa commande et de son contrle en appelant 102 syscall (sys_socketcall).

Le C&C rpondra avec des commandes shell supplmentaires excuter. Les premiers octets marqus en bleu sont les commandes shell que le logiciel malveillant va excuter. La commande reue tlchargera des fichiers supplmentaires du serveur qui ne seront pas stocks sur le disque dur, mais seront excuts en mmoire uniquement. Dans d’autres versions du malware, il utilise l’appel systme execve pour excuter /bin/sh avec la commande reue du C&C.

Le fichier suivant tlcharg et excut est un petit fichier ELF supplmentaire (environ 1 ko) cod avec l’encodeur Shikata Ga Nai. Le logiciel malveillant dcrypte une commande shell qui sera excute en appelant syscall_execve avec ‘/bin/sh » comme paramtre avec le shell dchiffr. Le dropper de deuxime tape dcrypte et excute des commandes shell. La commande shell excute va tlcharger et excuter des fichiers supplmentaires. Pour excuter le dropper de la prochaine et dernire tape, il exploitera deux vulnrabilits de Linux afin de tirer parti des privilges – CVE-2021-4034 et CVE-2021-3493.

Persistance

Pour assurer sa persistance, le ogiciel malveillant tlcharge et excute un total de 5 scripts shell. Il persiste dans le systme en configurant 4 crontabs, deux pour l’utilisateur actuellement connect et les deux autres pour l’utilisateur root. Il vrifie d’abord si la commande crontab existe sur la machine, et si ce n’est pas le cas, le logiciel malveillant l’installe et lance le service crontab. Pour s’assurer qu’une seule instance fonctionne, il utilise la commande flock avec un fichier de verrouillage /var/tmp/vm.lock.

Un appel flock() peut bloquer si un verrou incompatible est dtenu par un autre processus. Pour faire une demande non bloquante, incluez LOCK_NB (par ORing) avec l’une des oprations ci-dessus. Un mme fichier ne peut pas avoir simultanment des verrous partags et exclusifs.

Les verrous crs par flock() sont associs une entre de la table des fichiers ouverts. Cela signifie que les descripteurs de fichiers dupliqus (crs par exemple par fork(2) ou dup(2)) font rfrence au mme verrou, et que ce verrou peut tre modifi ou libr en utilisant n’importe lequel de ces descripteurs. De plus, le verrou est libr soit par une opration LOCK_UN explicite sur l’un de ces descripteurs dupliqus, soit lorsque tous ces descripteurs ont t ferms.

Si un processus utilise open(2) (ou similaire) pour obtenir plus d’un descripteur pour le mme fichier, ces descripteurs sont traits indpendamment par flock(). Une tentative de verrouiller le fichier en utilisant l’un de ces descripteurs de fichier peut tre refuse par un verrou que le processus appelant a dj plac via un autre descripteur.

Un processus ne peut dtenir qu’un seul type de verrou (partag ou exclusif) sur un fichier. Les appels ultrieurs flock() sur un fichier dj verrouill convertiront un verrou existant vers le nouveau mode de verrouillage. Les verrous crs par flock() sont prservs lors d’un execve(2). Un verrou partag ou exclusif peut tre plac sur un fichier indpendamment du mode dans lequel le fichier a t ouvert.

Les logiciels malveillants pour Linux sont en hausse et atteignent leur niveau le plus lev au premier semestre 2022

Jusqu’ rcemment, les cybercriminels ont largement ignor Linux par rapport d’autres systmes d’exploitation plus populaires. Cependant, les nouvelles donnes montrent que les tendances des cyberattaques sont en train de changer. Selon les donnes prsentes par l’quipe d’Atlas VPN, le nombre de nouveaux logiciels malveillants Linux a atteint un niveau record au premier semestre 2022, puisque prs de 1,7 million d’chantillons ont t dcouverts.

Pourtant, le nombre cumul de nouveaux chantillons de logiciels malveillants Linux au premier semestre 2022 tait suprieur de 31 % au nombre d’chantillons de ce type pour l’ensemble de l’anne 2021. En fait, le premier semestre de cette anne a enregistr plus de nouveaux chantillons de logiciels malveillants Linux que toute autre anne depuis 2008. De tous les mois, c’est le mois d’avril qui a enregistr le plus grand nombre de nouveaux chantillons, soit 400 931.

Les nouveaux logiciels malveillants Windows restent en tte

Bien que Linux soit le seul systme d’exploitation avoir connu une augmentation du nombre de nouveaux chantillons de logiciels malveillants au cours du premier semestre de cette anne, c’est Windows qui a enregistr le plus grand nombre de nouvelles applications malveillantes. Au total, 41,4 millions d’chantillons de logiciels malveillants Windows nouvellement programms ont t identifis au premier semestre 2022. Par rapport au premier semestre 2021, o ces agrafes taient au nombre de 63,8 millions, elles ont diminu de 35 %.

chantillons de logiciels malveillants Linux par anne (2008 – S1 2022 )

Bien que Linux ne dtienne que 1 % de la part de march des systmes d’exploitation, il occupe la deuxime place de la liste avec 1,7 million de logiciels malveillants au premier semestre 2022. Le systme d’exploitation le plus populaire, Android, comptait quant lui 716 201 chantillons de logiciels malveillants nouvellement dvelopps au premier semestre 2022. Il a galement connu la plus forte baisse d’chantillons de logiciels malveillants par rapport l’anne dernire, soit 58 %.

Enfin, macOS a t la cible de 4 922 nouveaux chantillons de logiciels malveillants au cours du premier semestre 2022, soit une baisse de 32 % par rapport aux 7 269 chantillons du premier semestre 2021.

Dveloppement de nouveaux logiciels malveillants par systme d’exploitation (H1 2021 vs H1 2022)

Android occupe 44 % des parts de march des systmes d’exploitation, tandis que Windows et OS X ont respectivement 29 % et 6 %.

En somme, si Linux n’est pas aussi populaire parmi les utilisateurs d’ordinateurs que les autres systmes d’exploitation, il fait fonctionner les systmes dorsaux de nombreux rseaux, ce qui rend les attaques contre Linux trs lucratives. Plus l’adoption de Linux augmentera, plus les attaques contre lui augmenteront.

Sources : AT&T, Atlas VPN

Et vous ?

Quel est votre avis sur le sujet ?

Le nombre d’attaques sur Linux a atteint un niveau record, quel commentaire cela vous suggre ?

Malgr la hausse exponentielle des logiciels malveillants sur Linux, Windows reste l’OS avec le plus grand nombre d’attaques des nouveaux logiciels malveillants ?

Voir aussi :

Dcouverte de Symbiote, un malware Linux extrmement dangereux et presque impossible dtecter, il existe depuis au moins novembre 2021 et semble avoir t dvelopp pour cibler le secteur financier

Plus de 3,6 millions de serveurs MySQL dcouverts exposs sur Internet, ce qui constitue une surface d’attaque potentielle pour les cybercriminels

Le paquet PyPI « keep » aurait inclus par erreur un voleur de mots de passe, le mainteneur aurait involontairement introduit une dpendance malveillante par une faute de frappe



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.