रोटाजाकारो: नए लिनक्स मालवेयर को सिस्टमैड प्रक्रिया के रूप में प्रच्छन्न किया गया

Darkcrizt

4 मिनट

रिसर्च लैब 360 नेटलब ने घोषणा की लिनक्स के लिए एक नए मैलवेयर की पहचान, कोडनाम रोटाजाकारो और जिसमें एक बैकडोर कार्यान्वयन शामिल है जो सिस्टम को नियंत्रित करने की अनुमति देता है। हमलावर सिस्टम में अपूरणीय कमजोरियों का शोषण करने या कमजोर पासवर्ड का अनुमान लगाने के बाद दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित कर सकते थे।

संदिग्ध ट्रैफ़िक विश्लेषण के दौरान पिछले दरवाजे की खोज की गई थी DDoS हमले के लिए इस्तेमाल किए गए बॉटनेट संरचना के विश्लेषण के दौरान पहचानी गई सिस्टम प्रक्रियाओं में से एक। इससे पहले, रोटाजाकारो तीन साल के लिए किसी का ध्यान नहीं गया, विशेष रूप से, वायरसटोटल सेवा पर एमडी 5 हैश के साथ फ़ाइलों को सत्यापित करने का पहला प्रयास जो मैच 2018 की मई की तारीख तक मैलवेयर तिथि का पता लगाता है।

हमने इसे रोटाजाकीरो नाम दिया है, इस तथ्य के आधार पर कि परिवार रोटरी एन्क्रिप्शन का उपयोग करता है और चलने के दौरान रूट / गैर-रूट खातों से अलग व्यवहार करता है।

RotaJakiro सहित कई एन्क्रिप्शन एल्गोरिदम का उपयोग करते हुए, अपने निशान को छिपाने के लिए करीब ध्यान देता है: नमूने के भीतर संसाधन जानकारी को एन्क्रिप्ट करने के लिए एईएस एल्गोरिथ्म का उपयोग करना; एईएस, एक्सओआर, रोटेट एन्क्रिप्शन और जेडएलआईबी संपीड़न के संयोजन का उपयोग करके सी 2 संचार।

रोटाजाकीरो की विशेषताओं में से एक विभिन्न मास्किंग तकनीकों का उपयोग है जब अनपेक्षित उपयोगकर्ता और रूट के रूप में चलाया जाता है। अपनी उपस्थिति छिपाने के लिए, मैलवेयर ने सिस्टम नाम-प्रक्रिया का उपयोग किया, सत्र- dbus और gvfsd- हेल्पर, जो सभी प्रकार की सेवा प्रक्रियाओं के साथ आधुनिक लिनक्स वितरण की अव्यवस्था को देखते हुए, पहली नज़र में वैध लग रहा था और संदेह पैदा नहीं करता था।

RotaJakiro द्विआधारी और नेटवर्क ट्रैफ़िक विश्लेषण का मुकाबला करने के लिए डायनेमिक एईएस, डबल-लेयर एन्क्रिप्टेड संचार प्रोटोकॉल जैसी तकनीकों का उपयोग करता है।
RotaJakiro पहले यह निर्धारित करता है कि उपयोगकर्ता रन-टाइम पर रूट या गैर-रूट है, विभिन्न खातों के लिए अलग-अलग निष्पादन नीतियों के साथ, फिर संबंधित संवेदनशील संसाधनों को डिक्रिप्ट करता है।

रूट के रूप में चलाने पर, मैलवेयर को सक्रिय करने के लिए systemd-agent.conf और sys-temd-agent.service स्क्रिप्ट बनाई गई थीं और दुर्भावनापूर्ण निष्पादन योग्य निम्नलिखित रास्तों के भीतर स्थित था: / बिन / systemd / systemd -daemon और / usr / lib / systemd / systemd-daemon (दो फाइलों में दोहराई गई कार्यक्षमता)।

जब जब एक सामान्य उपयोगकर्ता के रूप में चलाया जाता है तो ऑटोरन फ़ाइल का उपयोग किया जाता था $ HOME / .config / au-tostart / gnomehelper.desktop और परिवर्तन .bashrc में किए गए थे, और निष्पादन योग्य फ़ाइल को $ HOME / .gvfsd / .profile / gffsd-helper और $ HOME / -dbus / session / session के रूप में सहेजा गया था। -बस। दोनों निष्पादन योग्य फाइलें एक ही समय में लॉन्च की गईं, जिनमें से प्रत्येक ने दूसरे की उपस्थिति की निगरानी की और इसे बंद करने की स्थिति में बहाल किया।

RotaJakiro कुल 12 कार्यों का समर्थन करता है, जिनमें से तीन विशिष्ट प्लगइन्स के निष्पादन से संबंधित हैं। दुर्भाग्य से, हमारे पास प्लगइन्स की दृश्यता नहीं है और इसलिए हम उनके वास्तविक उद्देश्य को नहीं जानते हैं। एक व्यापक हैचबैक परिप्रेक्ष्य से, सुविधाओं को निम्नलिखित चार श्रेणियों में बांटा जा सकता है।

डिवाइस की जानकारी रिपोर्ट करें
संवेदनशील जानकारी चोरी
फ़ाइल / प्लगइन प्रबंधन (चेक, डाउनलोड, हटाएं)
एक विशिष्ट प्लगइन चल रहा है

पिछले दरवाजे पर अपनी गतिविधियों के परिणामों को छिपाने के लिए, विभिन्न एन्क्रिप्शन एल्गोरिदम का उपयोग किया गया था, उदाहरण के लिए, एईएस का उपयोग अपने संसाधनों को एन्क्रिप्ट करने के लिए और नियंत्रण सर्वर के साथ संचार चैनल को छिपाने के लिए, एईएस, एक्सओआर और रोटेट के उपयोग के अलावा किया गया था। ZLIB का उपयोग कर संपीड़न के साथ संयोजन। नियंत्रण आदेश प्राप्त करने के लिए, मैलवेयर ने नेटवर्क पोर्ट 4 के माध्यम से 443 डोमेन एक्सेस किए (संचार चैनल ने अपने प्रोटोकॉल का उपयोग किया, न कि HTTPS और TLS का)।

डोमेन (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com और news.thaprior.net) को 2015 में पंजीकृत किया गया था और इसे कीव के होस्टिंग प्रदाता डेल्टाहॉस्ट ने होस्ट किया था। 12 बुनियादी कार्यों को पिछले दरवाजे में एकीकृत किया गया था, जिससे आप उन्नत कार्यक्षमता के साथ ऐड-ऑन को लोड और चला सकते हैं, डिवाइस डेटा ट्रांसफर कर सकते हैं, गोपनीय डेटा को इंटरसेप्ट कर सकते हैं और स्थानीय फ़ाइलों को प्रबंधित कर सकते हैं।

रिवर्स इंजीनियरिंग के नजरिए से, रोटाजाकारो और टॉरी समान शैलियों को साझा करते हैं: संवेदनशील संसाधनों को छिपाने के लिए एन्क्रिप्शन एल्गोरिदम का उपयोग, एक पुराने जमाने की दृढ़ता शैली, संरचित नेटवर्क ट्रैफ़िक, आदि का कार्यान्वयन।

अंत में यदि आप अनुसंधान के बारे में अधिक जानने में रुचि रखते हैं 360 नेटलैब द्वारा किए गए, आप विवरण देख सकते हैं निम्न लिंक पर जाकर।


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: एबी इंटरनेट नेटवर्क 2008 SL
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   दुष्प्रचार कहा
    पूर्व 3 साल

    यह न बताएं कि इसे कैसे खत्म किया जाता है या कैसे पता चलेगा कि हम संक्रमित हैं या नहीं, जो हमारे स्वास्थ्य के लिए बुरा है।

    गलत सूचना का जवाब दें
  2.   मर्लिन जादूगर कहा
    पूर्व 3 साल

    दिलचस्प लेख और इसके साथ जुड़े लिंक में एक दिलचस्प विश्लेषण, लेकिन मुझे संक्रमण वेक्टर के बारे में एक शब्द भी याद आ गया। क्या यह एक ट्रोजन, एक कीड़ा या सिर्फ एक वायरस है? हमें अपने संक्रमण से बचने के लिए क्या सावधानी बरतनी चाहिए?

    मर्लिन द विजार्ड को उत्तर दें
  3.   लुइक्स कहा
    पूर्व 3 साल

    और क्या अंतर है?
    यदि systemd पहले से ही एक मैलवेयर है..

    उत्तर luix को