據Security affairs 9月7日消息，AT&T Alien Labs 的研究人員發現了一種新型隱形 Linux 惡意軟件 Shikitega，它以端點和物聯網設備為目標實施多階段感染，以達到能夠完全控制系統并執行其他惡意活動，包括加密貨幣挖掘。

Shikitega操作流程

該惡意軟件的主要釋放器是一個非常小的 ELF 文件，其總大小僅為 370 字節左右，而其實際代碼大小約為 300 字節。專家報告稱，Shikitega 能夠從 C2 服務器下載下一階段的有效載荷并直接在內存中執行。通過利用 Metasploit 中最流行的編碼器Shikata Ga Nai ，惡意軟件會運行多個解碼循環，每一個循環解碼下一層，直到最終的 shellcode 有效負載被解碼并執行。

Shikitega 利用 CVE-2021-4034（又名 PwnKit）和 CVE-2021-3493漏洞來提升權限，并在 root 權限執行的最后階段保持持久性。

由于Shikitega使用多態編碼器來逐步實現有效負載，其中每個步驟僅顯示總有效負載的一部分。這一“低調”操作讓Shikitega避免被反病毒引擎檢測到。

除了Shikitega，近來在野外發現的 Linux 惡意軟件正越發多樣，包括BPFDoor、Symbiote、Syslogk、OrBit和 Lightning Framework等。

參考來源：Experts spotted a new stealthy Linux malware dubbed Shikitega