RotaJakiro: uus Linuxi pahavara, mis on varjatud süsteemiprotsessina

Teaduslabor 360 Netlab teatas uue koodnimega Linuxi pahavara tuvastamine RotaJakiro ja see sisaldab tagaukse rakendust mis võimaldab süsteemi juhtida. Ründajad võisid pärast parandamata turvaaukude kasutamist süsteemis või nõrkade paroolide äraarvamist pahatahtliku tarkvara installida.

Tagauks avastati kahtlase liiklusanalüüsi käigus ühest süsteemiprotsessist, mis tuvastati DDoS-i rünnakuks kasutatud botnet-struktuuri analüüsimisel. Enne seda jäi RotaJakiro kolm aastat märkamatuks, eriti esimesed katsed kontrollida MD5 räsidega faile VirusTotal teenuses, mis vastavad tuvastatud pahavarale, pärinevad 2018. aasta maist.

Me panime sellele nimeks RotaJakiro, lähtudes asjaolust, et perekond kasutab pöördkrüptimist ja käitub käitamisel root / non-root kontodest erinevalt.

RotaJakiro pöörab suurt tähelepanu oma jälgede varjamisele, kasutades mitut krüpteerimisalgoritmi, sealhulgas: AES-i algoritmi kasutamine valimis oleva ressursiteabe krüptimiseks; C2 suhtlus, kasutades AES, XOR, ROTATE krüptimise ja ZLIB tihendamise kombinatsiooni.

RotaJakiro üheks tunnuseks on erinevate maskeerimisvõtete kasutamine kui seda käivitatakse privilegeeritud kasutaja ja juurena. Oma kohaloleku varjamiseks, pahavara kasutas protsessinimesid systemd-daemon, session-dbus ja gvfsd-helper, mis arvestades tänapäevaste Linuxi distributsioonide segadust igasuguste teenuseprotsessidega, tundusid esmapilgul legitiimsed ega äratanud kahtlust.

Binaar- ja võrguliikluse analüüsimiseks kasutab RotaJakiro selliseid tehnikaid nagu dünaamiline AES, kahekihilised krüptitud sideprotokollid.
RotaJakiro teeb kõigepealt kindlaks, kas kasutaja on käitamise ajal root või mittejuureline, erinevate kontode jaoks erinevate täitmispoliitikatega, seejärel dešifreerib asjakohased tundlikud ressursid.

Rootina käivitamisel loodi pahavara aktiveerimiseks skriptid systemd-agent.conf ja sys-temd-agent.service. ja pahatahtlik käivitatav fail asus järgmistel radadel: / bin / systemd / systemd -daemon ja / usr / lib / systemd / systemd-daemon (kahes failis dubleeritud funktsionaalsus).

Kuigi tavalise kasutajana käivitamisel kasutati autorun-faili $ HOME / .config / au-tostart / gnomehelper.desktop ja muudatused tehti .bashrc-s ning käivitatav fail salvestati kui $ HOME / .gvfsd / .profile / gvfsd-helper ja $ HOME / .dbus / session / session -dbus. Mõlemad käivitatavad failid käivitati korraga, millest igaüks jälgis teise olemasolu ja taastas selle seiskamise korral.

RotaJakiro toetab kokku 12 funktsiooni, millest kolm on seotud konkreetsete pistikprogrammide käivitamisega. Kahjuks puudub meil pistikprogrammide nähtavus ja seetõttu ei tea me nende tegelikku eesmärki. Laia luukpära vaatenurgast saab funktsioone rühmitada järgmisse nelja kategooriasse.

Teavitage seadme teavet
Varastada tundlikku teavet
Failide / pistikprogrammide haldamine (kontrollimine, allalaadimine, kustutamine)
Kindla pistikprogrammi käitamine

Selle tegevuse tulemuste varjamiseks tagauksel kasutati erinevaid krüptimisalgoritme, näiteks AES-i kasutati lisaks AES-i, XOR-i ja ROTATE-i koos kompressiooniga, kasutades ZLIB-i. Juhtkäskude saamiseks pääses pahavara võrgupordi 4 kaudu neljale domeenile (sidekanal kasutas oma protokolli, mitte HTTPS-i ja TLS-i).

Domeenid (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ja news.thaprior.net) registreeriti 2015. aastal ja neid võõrustas Kiievi hostimise pakkuja Deltahost. Tagauksesse integreeriti 12 põhifunktsiooni, mis võimaldavad teil täiustatud funktsioonidega pistikprogramme laadida ja käitada, seadme andmeid edastada, konfidentsiaalseid andmeid pealt kuulata ja kohalikke faile hallata.

Pöördtehnoloogia vaatenurgast on RotaJakiro ja Torii sarnased stiilid: krüptimisalgoritmide kasutamine tundlike ressursside varjamiseks, üsna vanamoodsa püsimisstiili juurutamine, struktureeritud võrguliiklus jne.

Lõpuks kui olete huvitatud uurimistööst lähemalt tegi 360 Netlab, saate üksikasju vaadata järgmisele lingile minnes.