El laboratori d'investigació 360 Netlab va anunciar la identificació d'un nou malware per a Linux, amb nom en codi RotaJakiro i que inclou una implementació de backdoor que permet controlar el sistema. Els atacants podrien haver instal·lat programari maliciós després d'explotar vulnerabilitats no reparades en el sistema o endevinar contrasenyes febles.
El backdoor es va descobrir durant l'anàlisi de l'trànsit sospitós d'un dels processos de sistema identificats durant l'anàlisi de l'estructura de la botnet utilitzada per a l'atac DDoS. Abans d'això, RotaJakiro va passar desapercebut durant tres anys, en particular, els primers intents de verificar arxius amb hash MD5 en el servei VirusTotal que coincideixen amb el malware detectat daten de maig de 2018.
En diem RotaJakiro basant-nos en el fet que la família fa servir xifrat rotatiu i es comporta de manera diferent root / non-root accountscuando s'executa.
RotaJakiro presta prou atenció per ocultar les seves rastres, utilitzant múltiples algoritmes d'encriptació, que inclouen: l'ús de l'algoritme AES per a xifrar la informació de el recurs dins de la mostra; Comunicació C2 mitjançant una combinació d'AES, XOR, rotate encryptiony ZLIB compression.
Una de les característiques de RotaJakiro és l'ús de diferents tècniques d'emmascarament quan s'executa com a usuari sense privilegis i root. Per ocultar la seva presència, el malware va utilitzar els noms de procés systemd-daemon, Session-dbus i gvfsd-helper, que, donat el desordre de les distribucions modernes de Linux amb tot tipus de processos de servei, a primera vista semblaven legítims i no van despertar sospites.
RotaJakiro utilitza tècniques com AES dinàmic, protocols de comunicació encriptats de doble capa per contrarestar l'anàlisi de trànsit binari i de xarxa.
RotaJakiro primer determina si l'usuari és root o no root en temps d'execució, amb diferents polítiques d'execució per a diferents comptes, a continuació, desxifra els recursos sensibles rellevants.
Quan s'executa com a root, els scripts systemd-agent.conf i systemd-agent.service es van crear per activar el malware i l'executable maliciós es va situar dins de les següents rutes: / bin / systemd / systemd -daemon i / usr / lib / systemd / systemd-daemon (funcionalitat duplicada en dos arxius).
Mentres que quan es va executar com a usuari normal, es va utilitzar l'arxiu d'execució automàtica $ HOME / .config / au-tostart / gnomehelper.desktop i es van realitzar canvis en .bashrc, i l'arxiu executable es va guardar com $ HOME / .gvfsd / .profile / gvfsd-helper i $ HOME / .dbus / sessions / session -dbus. Tots dos arxius executables es van llançar a el mateix temps, cada un dels quals monitoreaba la presència de l'altre i el restaurava en cas d'apagada.
RotaJakiro admet un total de 12 funcions, tres de les quals estan relacionades amb l'execució de complements específics. Desafortunadament, no tenim visibilitat dels complements i, per tant, no coneixem el seu veritable propòsit. Des d'una perspectiva àmplia de porta del darrere, les funcions es poden agrupar en les següents quatre categories.
Informar la informació de el dispositiu
Robar informació sensible
Gestió de fitxers / complements (consultar, descarregar, eliminar)
Execució d'un complement específic
Per amagar els resultats de les seves activitats en el clandestí, es van utilitzar diversos algoritmes de xifrat, per exemple, es va utilitzar AES per xifrar els seus recursos i per ocultar el canal de comunicació amb el servidor de control, a més de l'ús d'AES, XOR i rotate en combinació amb compressió usant ZLIB. Per rebre ordres de control, el malware va accedir a 4 dominis a través del port de xarxa 443 (el canal de comunicació va usar el seu propi protocol, no HTTPS i TLS).
Els dominis (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com i news.thaprior.net) es van registrar el 2015 i van ser allotjats pel proveïdor d'allotjament de Kíev Deltahost. Es van integrar 12 funcions bàsiques a la porta del darrere, el que va permetre carregar i executar complements amb funcionalitat avançada, transferir dades de el dispositiu, interceptar dades confidencials i administrar arxius locals.
Des de la perspectiva de l'enginyeria inversa, RotaJakiro i Torii comparteixen estils similars: l'ús d'algoritmes de xifrat per ocultar recursos sensibles, la implementació d'un estil de persistència bastant antiquat, tràfic de xarxa estructurat, etc.
Finalment si estàs interessat en conèixer més a l'respecte sobre la investigació realitzada per 360 Netlab, pots consultar els detalls dirigint-te a el següent enllaç.
No expliqueu com s'elimina o com saber si estem infectats o no, que és dolent per a la salut.
Interessant article i un interessant anàlisi en l'enllaç que l'acompanya, però trobo a faltar alguna paraula sobre el vector d'infecció. És un troià, cuc o simplement un virus? ... ¿amb què hem d'anar amb compte per evitar la nostra infecció?
I quina és la diferència?
De per si systemd ja és un malware ..