Najavljen Research Lab 360 Netlab identifikacija novog zlonamjernog softvera za Linux, kodnog imena RotaJakiro i to uključuje backdoor implementaciju koji omogućava kontrolu sistema. Napadači su mogli instalirati zlonamjerni softver nakon što su iskoristili nepopravljene ranjivosti u sistemu ili pogodili slabe lozinke.
Backdoor je otkriven tokom sumnjive analize prometa jednog od sistemskih procesa identifikovanih tokom analize botnet strukture koja se koristi za DDoS napad. Prije toga, RotaJakiro je ostao neprimjećen tri godine, posebno su prvi pokušaji provjere datoteka s MD5 hešovima na usluzi VirusTotal koje se podudaraju s otkrivenim zlonamjernim softverom datirali u svibnju 2018.
Nazvali smo ga RotaJakiro na osnovu činjenice da porodica koristi rotacijsku enkripciju i ponaša se drugačije od root / non-root računa kada se izvodi.
RotaJakiro posvećuje veliku pažnju skrivanju njegovih tragova, koristeći više algoritama za šifriranje, uključujući: korištenje AES algoritma za šifriranje informacija o resursima u uzorku; C2 komunikacija koristeći kombinaciju AES, XOR, ROTATE enkripcije i ZLIB kompresije.
Jedna od karakteristika RotaJakiro-a je upotreba različitih tehnika maskiranja kada se izvodi kao neprivilegirani korisnik i root. Da sakrijete svoje prisustvo, zlonamjerni softver je koristio nazive procesa systemd-daemon, session-dbus i gvfsd-helper, koji su se, s obzirom na nered modernih Linux distribucija sa svim vrstama servisnih procesa, na prvi pogled činili legitimnim i nisu pobuđivali sumnju.
RotaJakiro koristi tehnike kao što su dinamički AES, dvoslojni šifrirani komunikacijski protokoli za suzbijanje binarne i mrežne analize prometa.
RotaJakiro prvo određuje je li korisnik root ili nekorenski u vrijeme izvođenja, s različitim politikama izvršenja za različite račune, a zatim dešifrira relevantne osjetljive resurse.
Kada se pokrenu kao root, skripte systemd-agent.conf i sys-temd-agent.service stvorene su za aktiviranje zlonamjernog softvera a zlonamjerna izvršna datoteka nalazila se u sljedećim stazama: / bin / systemd / systemd -daemon i / usr / lib / systemd / systemd-daemon (funkcija duplicirana u dvije datoteke).
Dok kada je pokrenut kao normalan korisnik, korištena je datoteka automatskog pokretanja $ HOME / .config / au-tostart / gnomehelper.desktop i izvršene su promjene u .bashrc, a izvršna datoteka je spremljena kao $ HOME / .gvfsd / .profile / gvfsd-helper i $ HOME / .dbus / session / session -dbus. Obje izvršne datoteke pokrenute su istovremeno, od kojih je svaka nadzirala prisustvo druge i obnavljala je u slučaju isključivanja.
RotaJakiro podržava ukupno 12 funkcija, od kojih su tri povezane s izvršavanjem određenih dodataka. Nažalost, nemamo vidljivost dodataka i stoga ne znamo njihovu stvarnu svrhu. Iz široke perspektive hečbeka, karakteristike se mogu grupirati u sljedeće četiri kategorije.
Prijavite informacije o uređaju
Ukradi osetljive informacije
Upravljanje datotekama / dodacima (provjera, preuzimanje, brisanje)
Pokretanje određenog dodatka
Da bi se sakrili rezultati njegovih aktivnosti na pozadini, korišteni su različiti algoritmi šifriranja, na primjer, AES je korišten za šifriranje svojih resursa i sakrivanje komunikacijskog kanala s upravljačkim serverom, uz upotrebu AES, XOR i ROTATE u kombinacija sa kompresijom pomoću ZLIB-a. Da bi primio kontrolne naredbe, zlonamjerni softver pristupio je 4 domene putem mrežnog porta 443 (komunikacijski kanal koristio je vlastiti protokol, a ne HTTPS i TLS).
Domene (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com i news.thaprior.net) registrovane su 2015. godine i hostirao ih je kijevski pružatelj hosting usluga Deltahost. U osnovna vrata integrirano je 12 osnovnih funkcija, što vam omogućava učitavanje i pokretanje dodataka sa naprednom funkcionalnošću, prenos podataka uređaja, presretanje povjerljivih podataka i upravljanje lokalnim datotekama.
Iz obrnute inženjerske perspektive, RotaJakiro i Torii dijele slične stilove: korištenje algoritama šifriranja za sakrivanje osjetljivih resursa, implementacija prilično staromodnog stila postojanosti, strukturirani mrežni promet itd.
Konačno ako ste zainteresirani da saznate više o istraživanju koje je izradio 360 Netlab, možete provjeriti detalje odlaskom na sljedeći link.
Ne objašnjavajte kako se uklanja ili kako znati da li smo zaraženi ili ne, što je loše za zdravlje.
Zanimljiv članak i zanimljiva analiza na poveznici koja ga prati, ali propuštam riječ o vektoru zaraze. Da li je to trojanski virus, crv ili samo virus? ... Na šta bismo trebali biti oprezni kako bismo izbjegli infekciju?
A u čemu je razlika?
Sam po sebi systemd je već malware ..