連你家電器的算力都不放過，新發現Linux惡意軟體用IoT裝置挖礦，大小僅376位元組

智慧冰箱彩電洗衣機要小心

蕭簫 發自 凹非寺

量子位 | 公眾號 QbitAI

繼電腦和手機後， 挖礦病毒 也盯上了IoT裝置。

無論是智慧冰箱、彩電還是洗衣機，但凡有點算力的（物聯網和端側）裝置都可能被這種病毒感染，用於挖掘加密貨幣等。

AT&T Alien Labs新發現的Linux惡意軟體 Shikitega 就是一例。

相比之前的一些IoT裝置，Shikitega更加隱蔽，總共只有 376位元組 ，其中程式碼佔了300位元組。

那麼，這個新型惡意軟體究竟是如何感染裝置的？

利用加殼技術“隱身”

具體來說，Shikitega核心是一個很小的ELF檔案（Linux系統可執行檔案格式）。

這個ELF檔案加了動態殼，以規避一些安全防護軟體的查殺。

加殼，指利用特殊演算法壓縮可執行檔案中的資源，但壓縮後的檔案可以獨立執行，且解壓過程完全隱蔽，全部在記憶體中完成。

動態殼則是加殼裡面更加強力的一種手段。

從整體過程來看，Shikitega會對端側和IoT裝置實施多階段感染，控制系統並執行其他惡意活動，包括加密貨幣的挖掘（這裡Shikitega的目標是門羅幣）：

通過漏洞利用框架Metasploit中最流行的編碼器Shikata Ga Nai（SGN），Shikitega會執行多個解碼迴圈，每一個迴圈解碼下一層。

最終，Shikitega中的有效載荷（惡意軟體的核心部分，如執行惡意行為的蠕蟲或病毒、刪除資料、傳送垃圾郵件等的程式碼）會被完全解碼並執行。

這個惡意軟體利用的是CVE-2021-4034和CVE-2021-3493兩個Linux漏洞，雖然目前已經有修復補丁，但如果IoT裝置上的舊版Linux系統沒更新，就可能被感染。

事實上，像Shikitega這樣感染IoT裝置的惡意軟體已經很常見了。

例如在今年三月，AT&T Alien Labs同樣發現了一個用Go編寫的惡意軟體 BotenaGo ，用於建立在各種裝置上執行的殭屍網路（Botnets）。

對此有不少網友吐槽，IoT裝置的安全性堪憂：

也有網友認為，IoT裝置應該搞WiFi隔離，不然就會給病毒“可乘之機”：

而除了IoT裝置，更多人的關注點則放在了Linux系統的安全上。

Linux惡意軟體數量飆升650%

這幾年來，Linux惡意軟體的多樣性和數量都上升了。

根據AV-ATLAS團隊提供的資料，新的Linux惡意軟體的數量在2022年上半年達到了歷史新高，發現了近170萬個。

與去年同期（226324個惡意軟體）相比，新的Linux惡意軟體數量飆升了近 650% 。

除了Shikitega，近來發現的流行Linux惡意軟體也變得更加多樣，已知的包括BPFDoor、Symbiote、Syslogk、OrBit和Lightning Framework等。

△圖源AV-ATLAS

對此有網友提出疑惑，正因為Linux開源，它似乎無論如何都會面臨病毒和惡意軟體的泛濫？

有網友迴應稱，一方面，雖然舊的Linux系統可能充滿漏洞、成為病毒的“溫床”，但它在經過升級、打了補丁之後就會變好。

另一方面，開發惡意軟體本身也不是“有手就能做”的事情。

畢竟安全研究人員會不斷修復並堵上所有漏洞，而惡意軟體開發者必須在他們修復前找到漏洞、開發出惡意軟體，還得讓它們“大流行”，最終實現自己的目的。

要是你家還有在用老舊Linux系統的裝置，要注意及時升級or做好網路隔離等安全措施~

參考連結：

[1]https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux

[2]https://arstechnica.com/information-technology/2022/09/new-linux-malware-combines-unusual-stealth-with-a-full-suite-of-capabilities/

[3]https://www.reddit.com/r/technews/comments/xc6nrn/new_linux_malware_combines_unusual_stealth_with_a/

版權所有，未經授權不得以任何形式轉載及使用，違者必究。