Research Lab 360 Netlab annonceret identifikation af en ny malware til Linux med kodenavn RotaJakiro og det inkluderer en bagdørimplementering der gør det muligt at kontrollere systemet. Angriberne kunne have installeret ondsindet software efter at have udnyttet uoprettede sårbarheder i systemet eller gætte på svage adgangskoder.
Bagdøren blev opdaget under den mistænkelige trafikanalyse af en af de systemprocesser, der blev identificeret under analysen af botnetstrukturen, der blev brugt til DDoS-angrebet. Før dette gik RotaJakiro ubemærket hen i tre år, især de første forsøg på at verificere filer med MD5-hashes på VirusTotal-tjenesten, der matcher opdaget malware, dateres tilbage til maj 2018.
Vi kaldte det RotaJakiro baseret på det faktum, at familien bruger roterende kryptering og opfører sig forskelligt fra root / ikke-root-konti, når de kører.
RotaJakiro lægger stor vægt på at skjule sine spor ved hjælp af flere krypteringsalgoritmer, herunder: brugen af AES-algoritmen til at kryptere ressourceoplysningerne i prøven; C2-kommunikation ved hjælp af en kombination af AES-, XOR-, ROTATE-kryptering og ZLIB-komprimering.
Et af kendetegnene ved RotaJakiro er brugen af forskellige maskeringsteknikker når den køres som privilegeret bruger og root. At skjule din tilstedeværelse, malware brugte procesnavne systemd-daemon, session-dbus og gvfsd-helper, der på grund af rodet i moderne Linux-distributioner med alle mulige serviceprocesser syntes legitime ved første øjekast og ikke vækkede mistanke.
RotaJakiro bruger teknikker som dynamisk AES, dobbeltlags krypterede kommunikationsprotokoller til at modvirke analyse af binær og netværkstrafik.
RotaJakiro bestemmer først, om brugeren er root eller ikke-root ved kørsel, med forskellige udførelsespolitikker for forskellige konti, og derefter dekrypterer de relevante følsomme ressourcer.
Når de køres som root, blev scripts systemd-agent.conf og sys-temd-agent.service oprettet for at aktivere malware og den ondsindede eksekverbare var placeret inden for følgende stier: / bin / systemd / systemd -daemon og / usr / lib / systemd / systemd-dæmon (funktion duplikeret i to filer).
Mens når den køres som en normal bruger, blev autorun-filen brugt $ HOME / .config / au-tostart / gnomehelper.desktop og ændringer blev foretaget i .bashrc, og den eksekverbare fil blev gemt som $ HOME / .gvfsd / .profile / gvfsd-helper og $ HOME / .dbus / sessioner / session -dbus. Begge eksekverbare filer blev lanceret på samme tid, som hver overvågede tilstedeværelsen af den anden og gendannede den i tilfælde af nedlukning.
RotaJakiro understøtter i alt 12 funktioner, hvoraf tre er relateret til udførelsen af specifikke plugins. Desværre har vi ikke synlighed af plugins, og vi kender derfor ikke deres sande formål. Fra et bredt hatchbackperspektiv kan funktioner grupperes i følgende fire kategorier.
Rapporter enhedsoplysninger
Stjæl følsomme oplysninger
Fil / plugin-styring (tjek, download, slet)
Kører et specifikt plugin
For at skjule resultaterne af dets aktiviteter på bagdøren blev der anvendt forskellige krypteringsalgoritmer, for eksempel blev AES brugt til at kryptere sine ressourcer og til at skjule kommunikationskanalen med kontrolserveren ud over brugen af AES, XOR og ROTATE i kombination med kompression ved hjælp af ZLIB. For at modtage kontrolkommandoer tilgik malware malware til 4 domæner via netværksport 443 (kommunikationskanalen brugte sin egen protokol, ikke HTTPS og TLS).
Domænerne (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com og news.thaprior.net) blev registreret i 2015 og hostet af Kiev-udbyderen Deltahost. 12 grundlæggende funktioner blev integreret i bagdøren, så du kunne indlæse og køre tilføjelsesprogrammer med avanceret funktionalitet, overføre enhedsdata, opfange følsomme data og administrere lokale filer.
Fra et reverse engineering-perspektiv deler RotaJakiro og Torii lignende stilarter: brugen af krypteringsalgoritmer til at skjule følsomme ressourcer, implementeringen af en ret gammeldags persistensstil, struktureret netværkstrafik osv.
Endelig hvis du er interesseret i at lære mere om forskningen lavet af 360 Netlab, kan du kontrollere detaljerne ved at gå til følgende link.
Forklar ikke, hvordan det elimineres, eller hvordan man ved, om vi er smittet eller ej, hvilket er dårligt for helbredet.
Interessant artikel og interessant analyse i linket, der ledsager den, men jeg savner et ord om infektionsvektoren. Er det en trojan, orm eller bare en virus? ... Hvad skal vi være forsigtige med at undgå vores infektion?
Og hvad er forskellen?
I sig selv er systemd allerede en malware ..