360 Netlab Research Lab est annoncé l'identification d'un nouveau malware pour Linux, nom de code RotaJakiro et qui comprend une implémentation de porte dérobée cela permet de contrôler le système. Les attaquants pourraient avoir installé des logiciels malveillants après avoir exploité des vulnérabilités non réparées dans le système ou deviné des mots de passe faibles.
La porte dérobée a été découverte lors de l'analyse du trafic suspect de l'un des processus système identifiés lors de l'analyse de la structure du botnet utilisé pour l'attaque DDoS. Avant cela, RotaJakiro est passé inaperçu pendant trois ans, en particulier, les premières tentatives de vérification des fichiers avec des hachages MD5 sur le service VirusTotal qui correspondent aux logiciels malveillants détectés remontent à mai 2018.
Nous l'avons nommé RotaJakiro en raison du fait que la famille utilise le cryptage rotatif et se comporte différemment des comptes root / non root lors de l'exécution.
RotaJakiro accorde beaucoup d'attention pour cacher ses traces, en utilisant plusieurs algorithmes de cryptage, y compris: l'utilisation de l'algorithme AES pour crypter les informations sur les ressources dans l'échantillon; Communication C2 utilisant une combinaison de cryptage AES, XOR, ROTATE et de compression ZLIB.
L'une des caractéristiques de RotaJakiro est l'utilisation de différentes techniques de masquage lorsqu'il est exécuté en tant qu'utilisateur et root non privilégiés. Pour cacher ta présence, le malware a utilisé les noms de processus systemd-daemon, session-dbus et gvfsd-helper, qui, étant donné l'encombrement des distributions Linux modernes avec toutes sortes de processus de service, semblaient légitimes à première vue et n'éveillaient pas les soupçons.
RotaJakiro utilise des techniques telles que l'AES dynamique, des protocoles de communication chiffrés à double couche pour contrer l'analyse du trafic binaire et réseau.
RotaJakiro détermine d'abord si l'utilisateur est root ou non root au moment de l'exécution, avec différentes politiques d'exécution pour différents comptes, puis décrypte les ressources sensibles pertinentes.
Lorsqu'ils sont exécutés en tant que root, les scripts systemd-agent.conf et sys-temd-agent.service ont été créés pour activer le malware et l'exécutable malveillant se trouvait dans les chemins suivants: / bin / systemd / systemd -daemon et / usr / lib / systemd / systemd-daemon (fonctionnalité dupliquée dans deux fichiers).
Alors que lorsqu'il est exécuté en tant qu'utilisateur normal, le fichier d'exécution automatique a été utilisé $ HOME / .config / au-tostart / gnomehelper.desktop et des modifications ont été apportées à .bashrc, et le fichier exécutable a été enregistré sous $ HOME / .gvfsd / .profile / gvfsd-helper et $ HOME / .dbus / sessions / session -dbus. Les deux fichiers exécutables ont été lancés en même temps, chacun surveillant la présence de l'autre et le restaurant en cas d'arrêt.
RotaJakiro prend en charge un total de 12 fonctions, dont trois sont liées à l'exécution de plugins spécifiques. Malheureusement, nous n'avons pas de visibilité sur les plugins et par conséquent nous ne connaissons pas leur véritable objectif. Dans une large perspective à hayon, les fonctionnalités peuvent être regroupées dans les quatre catégories suivantes.
Signaler des informations sur l'appareil
Voler des informations sensibles
Gestion des fichiers / plugins (vérifier, télécharger, supprimer)
Exécuter un plugin spécifique
Pour masquer les résultats de ses activités sur la porte dérobée, divers algorithmes de cryptage ont été utilisés, par exemple, AES a été utilisé pour crypter ses ressources et pour masquer le canal de communication avec le serveur de contrôle, en plus de l'utilisation d'AES, XOR et ROTATE dans combinaison avec compression utilisant ZLIB. Pour recevoir des commandes de contrôle, le malware a accédé à 4 domaines via le port réseau 443 (le canal de communication utilisait son propre protocole, pas HTTPS et TLS).
Les domaines (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com et news.thaprior.net) ont été enregistrés en 2015 et hébergés par le fournisseur d'hébergement de Kiev Deltahost. 12 fonctions de base ont été intégrées dans la porte arrière, vous permettant de charger et d'exécuter des modules complémentaires avec des fonctionnalités avancées, de transférer des données de l'appareil, d'intercepter des données confidentielles et de gérer des fichiers locaux.
Du point de vue de la rétro-ingénierie, RotaJakiro et Torii partagent des styles similaires: l'utilisation d'algorithmes de chiffrement pour masquer des ressources sensibles, la mise en œuvre d'un style de persistance plutôt démodé, un trafic réseau structuré, etc.
Enfin si vous souhaitez en savoir plus sur la recherche fait par 360 Netlab, vous pouvez vérifier les détails en allant sur le lien suivant.
N'expliquez pas comment il est éliminé ou comment savoir si nous sommes infectés ou non, ce qui est mauvais pour la santé.
Article intéressant et analyse intéressante dans le lien qui l'accompagne, mais je manque un mot sur le vecteur d'infection. S'agit-il d'un cheval de Troie, d'un ver ou simplement d'un virus?… À quoi devons-nous faire attention pour éviter notre infection?
Et quelle est la différence?
En soi, systemd est déjà un malware.