রিসার্চ ল্যাব ৩ Net০ নেটবল ঘোষণা করেছে কোডিনমযুক্ত লিনাক্সের জন্য একটি নতুন ম্যালওয়ারের পরিচয় রোটাজাকিরো এবং এর মধ্যে রয়েছে একটি পিছনের দরজা বাস্তবায়ন এটি সিস্টেমকে নিয়ন্ত্রণ করতে দেয়। আক্রমণকারীরা সিস্টেমে অপরিশোধিত দুর্বলতাগুলি ব্যবহার করে বা দুর্বল পাসওয়ার্ডগুলি অনুমান করার পরে দূষিত সফ্টওয়্যার ইনস্টল করতে পারত।
সন্দেহজনক ট্র্যাফিক বিশ্লেষণের সময় ব্যাকডোরটি আবিষ্কার করা হয়েছিল DDoS আক্রমণে ব্যবহৃত বোটনেট কাঠামোর বিশ্লেষণের সময় চিহ্নিত সিস্টেম প্রক্রিয়াগুলির মধ্যে একটি। এর আগে, রটাজাকিরো তিন বছর ধরে কারও নজরে নেই, বিশেষত, ভাইরাসটোটাল পরিষেবাটিতে এমডি 5 হ্যাশগুলির সাথে ফাইলগুলি যাচাই করার প্রথম প্রচেষ্টা যা ম্যালওয়্যারটি মে 2018 এর তারিখের সাথে সনাক্ত করেছে।
পরিবার রোটারি এনক্রিপশন ব্যবহার করে এবং চলমান অবস্থায় মূল / নন-রুট অ্যাকাউন্ট থেকে আলাদা আচরণ করে on এর ভিত্তিতে আমরা এর নাম রোটাজাকিরো রেখেছি।
রোটাজাকিরো তার ট্রেসগুলি গোপন করতে প্রচুর মনোযোগ দেয়, একাধিক এনক্রিপশন অ্যালগরিদম ব্যবহার করে এর মধ্যে রয়েছে: নমুনাটির মধ্যে সংস্থানীয় তথ্যগুলি এনক্রিপ্ট করার জন্য এইএস অ্যালগরিদমের ব্যবহার; AES, XOR, ROTATE এনক্রিপশন এবং ZLIB সংকোচনের সংমিশ্রণ ব্যবহার করে সি 2 যোগাযোগ।
রটাজাকিরোর অন্যতম বৈশিষ্ট্য হ'ল বিভিন্ন মাস্কিং কৌশল ব্যবহার করা যখন অনিবদ্ধ ব্যবহারকারী এবং মূল হিসাবে চালিত হন। আপনার উপস্থিতি আড়াল করতে, ম্যালওয়্যার প্রক্রিয়া নামগুলি systemd-daemon ব্যবহার করেছে, সেশন-ডিবিস এবং জিভিএফএসডি-সহায়ক, যা বিভিন্ন ধরণের পরিষেবা প্রক্রিয়া সহ আধুনিক লিনাক্স ডিস্ট্রিবিউশনগুলির বিশৃঙ্খলা দেখা দিয়েছে, প্রথম নজরে বৈধ বলে মনে হয়েছিল এবং সন্দেহ জাগ্রত করেনি।
বোটারি এবং নেটওয়ার্ক ট্র্যাফিক বিশ্লেষণকে মোকাবেলায় রোটাজাকিরো ডায়নামিক এএস, ডাবল-লেয়ার এনক্রিপ্ট করা যোগাযোগ প্রোটোকলের মতো কৌশল ব্যবহার করে।
রটাজাকিরো প্রথমে নির্ধারণ করে যে ব্যবহারকারী রানটাইমের সময় রুট বা নন-রুট, বিভিন্ন অ্যাকাউন্টের জন্য বিভিন্ন কার্যকরকরণের নীতিমালা সহ, তারপরে প্রাসঙ্গিক সংবেদনশীল সংস্থানগুলি ডিক্রিপ্ট করে।
যখন রুট হিসাবে চালানো হয়, ম্যালওয়্যার সক্রিয় করতে সিস্টেমেড-এজেন্ট.কনফ এবং সিস-টেমড-এজেন্ট.সার্ভিস স্ক্রিপ্ট তৈরি করা হয়েছিল এবং দূষিত নির্বাহযোগ্য নিম্নলিখিত পাথের মধ্যে অবস্থিত ছিল: / bin / systemd / systemd -deemon এবং / usr / lib / systemd / systemd-daemon (কার্যকারিতা দুটি ফাইলে নকল) ated
যখন যখন সাধারণ ব্যবহারকারী হিসাবে চালিত হয় তখন অটোরান ফাইলটি ব্যবহৃত হত OME HOME / .config / au-tostart / gnomehelper.desktop এবং .bashrc এ পরিবর্তন করা হয়েছিল এবং এক্সিকিউটেবল ফাইলটি OME HOME / .gvfsd / .profile / gvfsd- সহায়ক এবং $ HOME / .dbus / সেশন / সেশন হিসাবে সংরক্ষণ করা হয়েছিল -ডাবাস উভয় এক্সিকিউটেবল ফাইল একই সাথে চালু হয়েছিল, যার প্রতিটি একে অপরের উপস্থিতি পর্যবেক্ষণ করে এবং শাটডাউনের ক্ষেত্রে এটি পুনরুদ্ধার করে।
রোটাজাকিরো মোট 12 টি ফাংশন সমর্থন করে, এর মধ্যে তিনটি নির্দিষ্ট প্লাগইনগুলির সম্পাদন সম্পর্কিত। দুর্ভাগ্যক্রমে, আমাদের প্লাগইনগুলির দৃশ্যমানতা নেই এবং তাই আমরা তাদের আসল উদ্দেশ্যটি জানি না। বিস্তৃত হ্যাচব্যাকের দৃষ্টিকোণ থেকে, বৈশিষ্ট্যগুলি নিম্নলিখিত চারটি বিভাগে বিভক্ত করা যেতে পারে।
ডিভাইসের তথ্য প্রতিবেদন করুন
সংবেদনশীল তথ্য চুরি করুন
ফাইল / প্লাগইন পরিচালনা (পরীক্ষা করুন, ডাউনলোড করুন, মুছুন)
একটি নির্দিষ্ট প্লাগইন চলছে
পিছনের অংশে এর ক্রিয়াকলাপগুলির ফলাফলগুলি গোপন করার জন্য, বিভিন্ন এনক্রিপশন অ্যালগরিদম ব্যবহার করা হয়েছিল, উদাহরণস্বরূপ, এইএস এর সংস্থানগুলি এনক্রিপ্ট করতে এবং নিয়ন্ত্রণ সার্ভারের সাথে যোগাযোগের চ্যানেলটি আড়াল করার জন্য, এইএস, এক্সওআর এবং রোটেটের ব্যবহার ছাড়াও ব্যবহৃত হয়েছিল ZLIB ব্যবহার করে সংক্ষেপণের সাথে সংমিশ্রণ। কমান্ড কমান্ডগুলি পাওয়ার জন্য, ম্যালওয়্যার নেটওয়ার্ক পোর্ট 4 এর মাধ্যমে 443 টি ডোমেন অ্যাক্সেস করেছে (যোগাযোগ চ্যানেলটি এইচটিটিপিএস এবং টিএলএস নয়, নিজস্ব প্রোটোকল ব্যবহার করেছে)।
ডোমেনগুলি (cdn.mirror-codes.net, status.sublineover.net, blog.edueLive.com এবং news.thaprior.net) 2015 সালে নিবন্ধভুক্ত ছিল এবং কিয়েভ হোস্টিং সরবরাহকারী ডেল্টাহোস্ট দ্বারা হোস্ট করা হয়েছিল। 12 প্রাথমিক ফাংশনগুলি পিছনের দরজার সাথে সংহত করা হয়েছিল, যাতে আপনাকে উন্নত কার্যকারিতা সহ অ্যাড-অনগুলি লোড করতে এবং চালাতে, ডিভাইস ডেটা স্থানান্তর করতে, সংবেদনশীল ডেটা বাধা দেয় এবং স্থানীয় ফাইলগুলি পরিচালনা করতে দেয়।
বিপরীত প্রকৌশল দৃষ্টিকোণ থেকে, রোটাজাকিরো এবং তোরি একই ধরণের শৈলী ভাগ করে: সংবেদনশীল সংস্থানগুলিকে আড়াল করতে এনক্রিপশন অ্যালগরিদম ব্যবহার, বরং পুরানো ধাঁচের দৃ pers়তা শৈলীর প্রয়োগ, কাঠামোগত নেটওয়ার্ক ট্র্যাফিক ইত্যাদি
পরিশেষে আপনি যদি গবেষণা সম্পর্কে আরও জানতে আগ্রহী হন ৩ Net০ নেটব্লব দ্বারা তৈরি, আপনি বিশদটি পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্কে গিয়ে।
এটি কীভাবে নির্মূল হয় বা কীভাবে আমরা সংক্রামিত কিনা তা কীভাবে জানবেন তা স্বাস্থ্যের পক্ষে খারাপ not
এটির সাথে যুক্ত লিঙ্কে আকর্ষণীয় নিবন্ধ এবং আকর্ষণীয় বিশ্লেষণ, তবে আমি সংক্রমণ ভেক্টর সম্পর্কে একটি শব্দ মিস করছি। এটি কি ট্রোজান, কৃমি বা কেবল একটি ভাইরাস?… আমাদের সংক্রমণ এড়াতে আমাদের কী সাবধানতা অবলম্বন করা উচিত?
আর পার্থক্য কী?
নিজে থেকেই সিস্টেমড ইতিমধ্যে একটি ম্যালওয়্যার ..