تم الإعلان عن Research Lab 360 Netlab تحديد برنامج ضار جديد لنظام التشغيل Linux ، يحمل الاسم الرمزي RotaJakiro وهذا يتضمن تنفيذ الباب الخلفي يسمح بالتحكم في النظام. ربما قام المهاجمون بتثبيت برامج ضارة بعد استغلال الثغرات الأمنية التي لم يتم إصلاحها في النظام أو تخمين كلمات المرور الضعيفة.
تم اكتشاف الباب الخلفي أثناء تحليل حركة المرور المشبوهة إحدى عمليات النظام التي تم تحديدها أثناء تحليل بنية الروبوتات المستخدمة في هجوم DDoS. قبل ذلك ، لم يلاحظ RotaJakiro لمدة ثلاث سنوات ، على وجه الخصوص ، تعود المحاولات الأولى للتحقق من الملفات باستخدام تجزئة MD5 على خدمة VirusTotal التي تطابق البرامج الضارة المكتشفة إلى مايو 2018.
أطلقنا عليها اسم RotaJakiro استنادًا إلى حقيقة أن العائلة تستخدم التشفير الدوراني وتتصرف بشكل مختلف عن الحسابات الجذر / غير الجذر عند التشغيل.
يولي RotaJakiro اهتمامًا وثيقًا لإخفاء آثاره ، باستخدام خوارزميات تشفير متعددة ، بما في ذلك: استخدام خوارزمية AES لتشفير معلومات المورد داخل العينة ؛ اتصال C2 باستخدام مجموعة من تشفير AES و XOR و ROTATE وضغط ZLIB.
تتمثل إحدى خصائص RotaJakiro في استخدام تقنيات إخفاء مختلفة عند تشغيله كمستخدم وجذر لا يتمتعان بامتيازات. لإخفاء وجودك, استخدمت البرامج الضارة أسماء العمليات systemd-daemonو session-dbus و gvfsd-helper ، والتي بدت شرعية للوهلة الأولى ، نظرًا لازدحام توزيعات Linux الحديثة مع جميع أنواع عمليات الخدمة ، ولم تثير الشكوك.
يستخدم RotaJakiro تقنيات مثل AES الديناميكي وبروتوكولات الاتصال المشفرة مزدوجة الطبقة لمواجهة تحليل حركة البيانات الثنائية والشبكات.
يحدد RotaJakiro أولاً ما إذا كان المستخدم جذرًا أم غير جذر في وقت التشغيل ، مع سياسات تنفيذ مختلفة لحسابات مختلفة ، ثم يقوم بفك تشفير الموارد الحساسة ذات الصلة.
عند التشغيل كجذر ، تم إنشاء البرامج النصية systemd-agent.conf و sys-temd-agent.service لتنشيط البرامج الضارة وكان الملف التنفيذي الضار موجودًا ضمن المسارات التالية: / bin / systemd / systemd -daemon و / usr / lib / systemd / systemd-daemon (الوظيفة مكررة في ملفين).
في حين عند تشغيله كمستخدم عادي ، تم استخدام ملف التشغيل التلقائي $ HOME / .config / au-tostart / gnomehelper.desktop وتم إجراء التغييرات على bashrc ، وتم حفظ الملف القابل للتنفيذ كـ $ HOME / .gvfsd / .profile / gvfsd-helper و $ HOME / .dbus / Session / Session -دبوس. تم إطلاق كلا الملفين التنفيذيين في نفس الوقت ، حيث قام كل منهما بمراقبة وجود الآخر واستعادته في حالة الإغلاق.
يدعم RotaJakiro ما مجموعه 12 وظيفة ، ثلاثة منها مرتبطة بتنفيذ مكونات إضافية محددة. لسوء الحظ ، ليس لدينا رؤية للمكونات الإضافية وبالتالي لا نعرف الغرض الحقيقي منها. من منظور هاتشباك واسع ، يمكن تجميع الميزات في الفئات الأربع التالية.
الإبلاغ عن معلومات الجهاز
سرقة المعلومات الحساسة
إدارة الملفات / البرنامج المساعد (فحص ، تنزيل ، حذف)
تشغيل مكون إضافي محدد
لإخفاء نتائج أنشطتها على الباب الخلفي ، تم استخدام خوارزميات تشفير مختلفة ، على سبيل المثال ، تم استخدام AES لتشفير مواردها وإخفاء قناة الاتصال مع خادم التحكم ، بالإضافة إلى استخدام AES و XOR و ROTATE في بالاشتراك مع الضغط باستخدام ZLIB. لتلقي أوامر التحكم ، وصلت البرامج الضارة إلى 4 مجالات من خلال منفذ الشبكة 443 (استخدمت قناة الاتصال بروتوكولها الخاص ، وليس HTTPS و TLS).
تم تسجيل المجالات (cdn.mirror-codes.net و status.sublineover.net و blog.eduelects.com و news.thaprior.net) في عام 2015 واستضافتها شركة استضافة كييف Deltahost. تم دمج 12 وظيفة أساسية في الباب الخلفي ، مما يتيح لك تحميل وتشغيل المكونات الإضافية بوظائف متقدمة ، ونقل بيانات الجهاز ، واعتراض البيانات السرية وإدارة الملفات المحلية.
من منظور الهندسة العكسية ، يشترك RotaJakiro و Torii في أنماط متشابهة: استخدام خوارزميات التشفير لإخفاء الموارد الحساسة ، وتنفيذ أسلوب المثابرة القديم إلى حد ما ، وحركة مرور الشبكة المنظمة ، إلخ.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عن البحث بواسطة 360 Netlab ، يمكنك التحقق من التفاصيل بالذهاب إلى الرابط التالي.
لا تشرح كيف يتم القضاء عليه أو كيفية معرفة ما إذا كنا مصابين أم لا ، وهو أمر مضر بالصحة.
مقال مثير للاهتمام وتحليل مثير للاهتمام في الرابط المصاحب له ، لكني أفتقد كلمة واحدة عن ناقل العدوى. هل هو حصان طروادة أم دودة أم مجرد فيروس؟ ... ما الذي يجب أن نكون حذرين بشأنه لتجنب الإصابة؟
وما الفرق؟
يعد systemd في حد ذاته برنامجًا ضارًا بالفعل ..