Theo các nhà nghiên cứu bảo mật tại AT&T Alien Labs (Hoa Kỳ) cho biết: “Tin tặc có thể giành toàn quyền kiểm soát hệ thống, bằng cách khai thác các lỗ hổng để leo thang đặc quyền. Sau đó, một công cụ khai thác tiền điện tử (cryptocurrency miner) có thể được cài đặt vào các thiết bị đã lây nhiễm”. Shikitega sử dụng bộ mã hóa đa hình để tránh bị phát hiện bởi các phần mềm diệt virus và rất khó để thực hiện bất kỳ nỗ lực phân tích tĩnh hay dựa trên chữ ký nào của nó.
Mã độc Shikitega lây nhiễm thông qua việc kích hoạt một tệp gọi là “ELF”, hoạt động như trình thả Dropper (là một loại Trojan được thiết kế để cài đặt và kích hoạt một số mã độc vào hệ thống, có khả năng lẩn tránh các phần mềm diệt virus). Shikitega có dung lượng khá nhỏ, adung lượng đoạn mã chiếm khoảng 300 byte trong khi tổng kích thước của file khoảng 370 byte.
Sau khi được cài đặt trên máy chủ mục tiêu, chuỗi tấn công sẽ tải xuống và thực thi công cụ “Mettle” của Metasploit để tối đa hóa khả năng kiểm soát, khai thác các lỗ hổng để leo thang đặc quyền của nó, ngoài ra còn được kích hoạt thêm tính bền bỉ và linh hoạt trên máy chủ thông qua “crontab” - tiện ích dòng lệnh để lập lịch công việc trên hệ điều hành và cuối cùng khởi chạy trình khai thác tiền điện tử trên các thiết bị đã bị lây nhiễm.
Công cụ Mettle được cấu hình để tìm nạp một tệp ELF có dung lượng như trên và thực hiện khai thác các lỗ hổng CVE-2021-4034 (hay còn gọi là PwnKit) và CVE-2021-3493 để tiến hành leo thang đặc quyền, cho phép các tin tặc lạm dụng các quyền nâng cao để tìm nạp và thực thi các tập lệnh shell code giai đoạn cuối với các đặc quyền tối đa, để thiết lập tính bền vững và triển khai công cụ khai thác tiền điện tử Monero trên các thiết bị đã bị lây nhiễm.
Chuỗi lây nhiễm của Shikitega được thể hiện trong Hình 3 dưới đây, mục đích cuối cùng là tiến hành leo thang đặc quyền và cài đặt một số tiện ích bổ sung trên các thiết bị đã lây nhiễm.
Để lẩn tránh các phần mềm diệt virus, Shikitega sử dụng bộ mã hóa đa hình với tên gọi là “Shikata Ga Nai” (một trong những bộ mã hóa phổ biến nhất được sử dụng trong Metasploit) được thực thi cho quá trình mã hóa và sử dụng các dịch vụ đám mây hợp pháp cho địa chỉ C2 (Command and Control). Để giải mã dữ liệu, mã độc thực hiện một số vòng giải mã qua các phép XOR.
Để lẩn tránh các phần mềm diệt virus, Shikitega sử dụng bộ mã hóa đa hình với tên gọi là “Shikata Ga Nai” (một trong những bộ mã hóa phổ biến nhất được sử dụng trong Metasploit) được thực thi cho quá trình mã hóa và sử dụng các dịch vụ đám mây hợp pháp cho địa chỉ C2 (Command and Control). Để giải mã dữ liệu, mã độc thực hiện một số vòng giải mã qua các phép XOR.
