ESET Temukan Malware Linux Shisiga Manfaatkan Skrip Lua

Di antara semua sampel Linux yang ESET terima setiap hari, terlihat satu sampel terdeteksi dengan nama deteksi adalah Linux.LuaBot. ESET menganggap ini mencurigakan karena tingkat deteksi kami untuk keluarga Luabot pada umumnya tinggi. Setelah dianalisis, ternyata bot ini ditulis dalam bahasa Lua, tapi ini merupakan keluarga baru, dan tidak terkait dengan malware Luabot yang sebelumnya terlihat. Dengan demikian, ESET memberinya nama baru: Linux/Shishiga. Ia menggunakan 4 protokol yang berbeda (SSH – Telnet – HTTP – BitTorrent) dan skrip Lua untuk modularitas.

Linux/Shishiga menargetkan sistem GNU/Linux. Vektor infeksinya sangatlah umum: melakukan brute force pada kredensial lemah berdasarkan daftar kata sandi. Mirip dengan Linux/Moose dengan kemampuan tambahan brute force kredensial SSH juga.

ESET juga menemukan beberapa binari Linux/Shishiga untuk berbagai arsitektur seperti MIPS (big & little-endian), ARM (armv4l), i686, dan juga PowerPC. Ini umumnya digunakan untuk perangkat IoT. ESET mengira bahwa arsitektur lain seperti SPARC, SH-4 atau m68k mendukung hal ini pula.

Jutsu Shishiga

Linux/Shishiga adalah binari yang dikemas dengan UPX 3.91 (Ultimate Packer for Executables), namun UPX tool akan mengalami kesulitan membongkar binari ini karena Shishiga menambahkan data pada akhir file yang dikemas.

Setelah dibongkar, kita melihat bahwa ia secara statis terkait dengan library runtime Lua, terlepas dari semua simbol. Setelah dieksekusi, binari menginisialisasi modul malware Lua dengan metode getmods.

Metode getmods akan mengembalikan arsip blob, kemudian hardcoded kode Lua (malware.lua) dijalankan melalui fungsi luaL_loadstring dan lua_pcall. Kode Lua ini cukup mudah.

Ada daftar lengkap semua skrip Lua yang ditemukan di bagian IOCs. Kebanyakan dari mereka memiliki nama file yang jelas, berikut ini adalah ringkasan singkat dari beberapa di antaranya.

Callhome.lua

• Mengambil file konfigurasi server.bt atau server dari config.lua.
• Jika tidak dapat menghubungi server default saat ini, ia akan mengubah ke server yang berbeda.
• Mengirim file (laporan atau akun, keduanya diformat JSON).
• Menjalankan tugas dari daftar tugas yang diambil dari server C & C.

Bfssh.lua / bftelnet.lua

• Modul untuk melakukan bruteforce SSH dan login Telnet.
• Periksa apakah perintah echo -en “\\x31\\x33\\x33\\x37” output 1337. Jika tidak, exit lagi dan terus lanjut.
• Arsitektur perangkat ditentukan dari file /bin/ls dengan menjalankan cat /bin/ls dan parsing header ELF.
• Menyebarkan malware (file .lm dan .dm) sesuai dengan arsitektur perangkat.
• Simpan kredensial yang berhasil.

Kode pengecekan arsitekturnya adalah sebagai berikut:
Bfssh.lua, metode getArchELF

Selama beberapa minggu terakhir, ESET mengamati beberapa perubahan kecil seperti beberapa modul yang ditulis ulang, penambahan modul pengujian, penghapusan file yang berlebihan, tapi tidak ada yang penting.

Sedangkan binari utama diberi nama <architecture> .lm, ESET juga berhasil mengambil binari dengan nama berikut <architecture>.dm, sebuah backdoor sederhana yang mengamati di alamat 0.0.0.0 (semua alamat IPv4) port 2015. Salah satu perubahan kecil Atas nama biner backdoor ini berubah dari dl menjadi dm.

Komunikasi Shisiga

Linux/Shishiga dapat berkomunikasi dengan menggunakan modul httpproto.lua, btloader.lua atau server.lua. Modul httpproto.lua memiliki fungsi yang memungkinkan data yang diberikan dikodekan atau diterjemahkan, dan membuat permintaan HTTP POST dan GET.

Btloader.lua menggunakan modul torrent.lua (pembungkus untuk fungsi BitTorrent) untuk menyimpan atau memuat node dari file nodes.cfg. Ini juga mengambil data konfigurasinya dari file {server, update, script} .bt (dalam format Bencode) dan menggunakan protokol BitTorrent untuk memeriksa versi baru dari file-file ini. Script.bt memungkinkan eksekusi script Lua dan update.bt memungkinkan mengeksekusi bin .lm.

Sekilas, Linux/Shishiga mungkin tampak seperti yang lain, menyebar melalui kredensial Telnet dan SSH yang lemah, namun penggunaan protokol BitTorrent dan modul Lua membedakannya dari yang lain. BitTorrent yang digunakan dalam Mirai terinspirasi dari worm Hajime, dan sudah diamati sejak tahun lalu dan ESET menduga kemungkinan besar hal ini akan menjadi lebih populer di masa depan.

Ada kemungkinan Shishiga masih bisa berkembang dan menjadi lebih luas namun jumlah korban yang rendah, secara konstan menambahkan, menghapus, dan memodifikasi komponen, komentar kode dan bahkan informasi debug secara terus-menerus, jelas menunjukkan bahwa ini adalah sebuah karya yang sedang berjalan. Agar perangkat Anda tidak terinfeksi oleh Shishiga dan worm sejenis, ESET menyarankan agar tidak menggunakan kredensial Telnet dan SSH default.

Sumber berita:

https://www.welivesecurity.com