Research Lab 360 Netlab обяви идентифицирането на нов зловреден софтуер за Linux с кодово име RotaJakiro и това включва изпълнение на задната врата което позволява да се контролира системата. Нападателите може да са инсталирали злонамерен софтуер, след като са използвали неремонтирани уязвимости в системата или са познали слаби пароли.
Задната вратичка беше открита по време на подозрителния анализ на трафика на един от системните процеси, идентифицирани по време на анализа на ботнет структурата, използвана за DDoS атака. Преди това RotaJakiro остана незабелязан в продължение на три години, по-специално, първите опити за проверка на файлове с MD5 хешове в услугата VirusTotal, които съответстват на открития зловреден софтуер, датират от май 2018 г.
Нарекохме го RotaJakiro въз основа на факта, че семейството използва ротационно криптиране и се държи по различен начин от акаунти root / non-root, когато се изпълнява.
RotaJakiro обръща голямо внимание на скриването на следите му, използвайки множество алгоритми за криптиране, включително: използване на алгоритъма AES за криптиране на информацията за ресурса в извадката; C2 комуникация, използваща комбинация от AES, XOR, ROTATE криптиране и ZLIB компресия.
Една от характеристиките на RotaJakiro е използването на различни техники за маскиране когато се изпълнява като непривилегирован потребител и root. За да скриете присъствието си, зловредният софтуер използва имената на процесите systemd-daemon, session-dbus и gvfsd-helper, които, като се има предвид бъркотията на съвременните дистрибуции на Linux с всякакви сервизни процеси, на пръв поглед изглеждаха легитимни и не предизвикваха подозрения.
RotaJakiro използва техники като динамичен AES, двуслойни криптирани комуникационни протоколи за противодействие на двоичен и мрежов анализ на трафика.
RotaJakiro първо определя дали потребителят е root или non-root по време на изпълнение, с различни политики за изпълнение за различни акаунти, след което декриптира съответните чувствителни ресурси.
Когато се изпълняват като root, скриптовете systemd-agent.conf и sys-temd-agent.service са създадени за активиране на зловредния софтуер и злонамереният изпълним файл се намираше в следните пътища: / bin / systemd / systemd -daemon и / usr / lib / systemd / systemd-daemon (функционалност дублирана в два файла).
докато когато се изпълнява като нормален потребител, файлът за автоматично стартиране е използван $ HOME / .config / au-tostart / gnomehelper.desktop и промените бяха направени в .bashrc, а изпълнимият файл беше запазен като $ HOME / .gvfsd / .profile / gvfsd-helper и $ HOME / .dbus / session / session -dbus. И двата изпълними файла бяха стартирани едновременно, всеки от които наблюдаваше присъствието на другия и го възстановяваше в случай на изключване.
RotaJakiro поддържа общо 12 функции, три от които са свързани с изпълнението на определени приставки. За съжаление нямаме видимост на приставките и следователно не знаем истинската им цел. От широка гледна точка на хечбека, характеристиките могат да бъдат групирани в следните четири категории.
Отчетете информация за устройството
Крадете чувствителна информация
Управление на файлове / приставки (проверка, изтегляне, изтриване)
Изпълнение на конкретна приставка
За да се скрият резултатите от неговите дейности на задната врата, бяха използвани различни алгоритми за криптиране, например AES беше използван за криптиране на неговите ресурси и за скриване на комуникационния канал с контролния сървър, в допълнение към използването на AES, XOR и ROTATE в комбинация с компресия с помощта на ZLIB. За да получи контролни команди, зловредният софтуер е получил достъп до 4 домейни чрез мрежов порт 443 (комуникационният канал е използвал собствен протокол, а не HTTPS и TLS).
Домейните (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) са регистрирани през 2015 г. и са хоствани от хостинг доставчика Deltahost от Киев. 12 основни функции бяха интегрирани в задната врата, което ви позволява да зареждате и стартирате плъгини с разширена функционалност, да прехвърляте данни от устройството, да пресичате поверителни данни и да управлявате локални файлове.
От обратна инженерна гледна точка, RotaJakiro и Torii споделят подобни стилове: използването на алгоритми за криптиране, за да се скрият чувствителни ресурси, внедряването на доста старомоден стил на постоянство, структуриран мрежов трафик и т.н.
Накрая ако се интересувате да научите повече за изследването направен от 360 Netlab, можете да проверите подробностите като отидете на следната връзка.
Не обяснявайте как се елиминира или как да разберем дали сме заразени или не, което е вредно за здравето.
Интересна статия и интересен анализ в линка, който го придружава, но пропускам дума за инфекциозния вектор. Троянец, червей ли е или просто вирус? ... Какво трябва да внимаваме, за да избегнем нашата инфекция?
И каква е разликата?
Сам по себе си systemd вече е злонамерен софтуер ..