RotaJakiro: uusi Linux-haittaohjelma, joka on naamioitu systemd-prosessiksi

Research Lab 360 Netlab ilmoitti uuden haittaohjelman tunnistaminen Linuxille, koodinimeltään RotaJakiro ja siihen sisältyy takaoven toteutus jonka avulla järjestelmää voidaan hallita. Hyökkääjät olisivat voineet asentaa haittaohjelmia hyödyntäneet järjestelmän korjaamattomia heikkouksia tai arvaamaan heikkoja salasanoja.

Takaovi löydettiin epäilyttävän liikenneanalyysin aikana yhdestä järjestelmäprosesseista, jotka on tunnistettu DDoS-hyökkäyksessä käytettävän botnet-rakenteen analyysin aikana. Ennen tätä RotaJakiro jäi huomaamatta kolmen vuoden ajan, etenkin ensimmäiset yritykset tarkistaa VirusTotal-palvelun MD5-hajautuksella tiedostot, jotka vastaavat havaittuja haittaohjelmia, ovat peräisin toukokuussa 2018.

Nimeimme sen RotaJakiroksi sen perusteella, että perhe käyttää pyörivää salausta ja käyttäytyy eri tavalla kuin root / non root -käyttäjät.

RotaJakiro kiinnittää paljon huomiota jälkien piilottamiseen käyttämällä useita salausalgoritmeja, mukaan lukien: AES-algoritmin käyttö näytteen sisältämien resurssitietojen salaamiseen; C2-viestintä AES-, XOR-, ROTATE-salauksen ja ZLIB-pakkauksen yhdistelmää käyttäen.

Yksi RotaJakiron ominaisuuksista on erilaisten naamiointitekniikoiden käyttö kun suoritetaan käyttöoikeuksettomana käyttäjänä ja pääkäyttäjänä. Piilota läsnäolosi, haittaohjelma käytti prosessin nimiä systemd-daemon, session-dbus ja gvfsd-helper, jotka nykyaikaisten Linux-jakelujen ja kaikenlaisten palveluprosessien sotkujen vuoksi näyttivät ensi silmäyksellä laillisilta eivätkä herättäneet epäilyksiä.

RotaJakiro käyttää tekniikoita, kuten dynaaminen AES, kaksikerroksiset salatut tietoliikenneprotokollat ​​binäärisen ja verkkoliikenteen analysointiin.
RotaJakiro määrittää ensin, onko käyttäjä root vai ei-root ajon aikana, eri toteutuskäytännöillä eri tileille, ja purkaa sitten asiaankuuluvat arkaluontoiset resurssit.

Kun ne suoritetaan pääkäyttäjinä, systemd-agent.conf- ja sys-temd-agent.service-komentosarjat luotiin haittaohjelman aktivoimiseksi. ja haitallinen suoritettava tiedosto sijaitsi seuraavilla poluilla: / bin / systemd / systemd -daemon ja / usr / lib / systemd / systemd-daemon (toiminnot kopioitu kahteen tiedostoon).

Vaikka kun se suoritettiin normaalina käyttäjänä, käytettiin autorun-tiedostoa $ HOME / .config / au-tostart / gnomehelper.desktop ja muutokset tehtiin .bashrc-tiedostoon ja suoritettava tiedosto tallennettiin nimellä $ HOME / .gvfsd / .profile / gvfsd-helper ja $ HOME / .dbus / session / session -dbus. Molemmat suoritettavat tiedostot käynnistettiin samanaikaisesti, joista kukin seurasi toisen läsnäoloa ja palautti sen sammutuksen yhteydessä.

RotaJakiro tukee kaikkiaan 12 toimintoa, joista kolme liittyy tiettyjen laajennusten suorittamiseen. Valitettavasti meillä ei ole laajennusten näkyvyyttä, joten emme tiedä niiden todellista tarkoitusta. Laajan viistoperän näkökulmasta ominaisuudet voidaan ryhmitellä seuraaviin neljään luokkaan.

Ilmoita laitetiedot
Varasta arkaluontoisia tietoja
Tiedostojen / laajennusten hallinta (tarkista, lataa, poista)
Tietyn laajennuksen suorittaminen

Piilottaakseen sen toiminnan tulokset takaovella käytettiin erilaisia ​​salausalgoritmeja, esimerkiksi AES: ää salattiin resurssit ja piilotettiin viestintäkanava ohjauspalvelimen kanssa AES: n, XOR: n ja ROTATE: n käytön lisäksi. yhdistettynä puristukseen käyttäen ZLIB: ää. Vastaanottaakseen ohjauskomentoja haittaohjelma käytti 4 verkkotunnusta verkkoportin 443 kautta (tietoliikennekanava käytti omaa protokollaansa, ei HTTPS: ää ja TLS: ää).

Verkkotunnukset (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ja news.thaprior.net) rekisteröitiin vuonna 2015, ja niitä isännöi Kiovan isännöintipalvelujen tarjoaja Deltahost. Takaoveen integroitiin 12 perustoimintoa, joiden avulla voit ladata ja suorittaa lisäosia edistyneillä toiminnoilla, siirtää laitetietoja, siepata arkaluontoisia tietoja ja hallita paikallisia tiedostoja.

Käänteisen suunnittelun näkökulmasta RotaJakiro ja Torii jakavat samanlaisia ​​tyylejä: salausalgoritmien käyttö arkaluontoisten resurssien piilottamiseksi, melko vanhanaikaisen pysyvyystyylin toteuttaminen, jäsennelty verkkoliikenne jne.

Vihdoin jos olet kiinnostunut oppimaan lisää tutkimuksesta 360 Netlabin tekemä, voit tarkistaa yksityiskohdat siirtymällä seuraavaan linkkiin.


3 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   disinformaatio dijo

    Älä selitä, miten se eliminoidaan tai miten tietää, olemmeko tartunnan saaneita, mikä on haitallista terveydelle.

  2.   Merlin Taikuri dijo

    Mielenkiintoinen artikkeli ja mielenkiintoinen analyysi siihen liittyvässä linkissä, mutta kaipaan sanaa infektiovektorista. Onko se troijalainen, mato vai vain virus? ... Mitä meidän tulisi olla varovaisia ​​tartunnan välttämiseksi?

  3.   luix dijo

    Ja mikä on ero?
    Itse systemd on jo haittaohjelma ..