A Research Lab 360 Netlab bejelentette egy új, kódnevű Linux kártevő azonosítása RotaJakiro és ez magában foglalja a hátsó ajtó megvalósítását amely lehetővé teszi a rendszer irányítását. A támadók rosszindulatú szoftvert telepíthettek, miután kijavították a rendszer helyrehozhatatlan biztonsági réseit, vagy kitalálták a gyenge jelszavakat.
A hátsó ajtót a gyanús forgalomelemzés során fedezték fel a DDoS-támadáshoz használt botnet-struktúra elemzése során azonosított egyik rendszerfolyamatból. Ezt megelőzően RotaJakiro három évig észrevétlen maradt, különösen a VirusTotal szolgáltatás MD5 hashszal rendelkező fájljainak ellenőrzésére tett első kísérletek, amelyek megfelelnek az észlelt rosszindulatú programoknak, 2018 májusára nyúlnak vissza.
Azért neveztük RotaJakirónak, hogy a család rotációs titkosítást használ, és a futtatáskor a root / nem root fiókoktól eltérően viselkedik.
A RotaJakiro nagy figyelmet fordít nyomainak elrejtésére, több titkosítási algoritmus használatával, ideértve: az AES algoritmus használatát a mintában lévő erőforrás információk titkosításához; C2 kommunikáció AES, XOR, ROTATE titkosítás és ZLIB tömörítés kombinációjával.
A RotaJakiro egyik jellemzője a különböző maszkolási technikák alkalmazása kiváltságtalan felhasználóként és rootként futtatva. Hogy elrejtse jelenlétét, a rosszindulatú program a systemd-daemon nevet használta, session-dbus és gvfsd-helper, amelyek a modern Linux disztribúciók zűrzavarát, mindenféle szolgáltatási folyamatot figyelembe véve első pillantásra legitimnek tűntek és nem keltettek gyanút.
A RotaJakiro olyan technikákat alkalmaz, mint a dinamikus AES, a kétrétegű titkosított kommunikációs protokollok a bináris és a hálózati forgalom elemzésére.
A RotaJakiro először meghatározza, hogy a felhasználó futás közben root vagy nem root, a különböző fiókokhoz különböző végrehajtási házirendekkel rendelkezik, majd visszafejti a vonatkozó érzékeny erőforrásokat.
Gyökérként futtatva a systemd-agent.conf és a sys-temd-agent.service parancsfájlokat hozták létre a kártevő aktiválásához. és a rosszindulatú futtatható fájl a következő elérési útvonalakon található: / bin / systemd / systemd -daemon és / usr / lib / systemd / systemd-daemon (két fájlban duplikált funkcionalitás).
míg normál felhasználóként történő futtatáskor az autorun fájlt használták $ HOME / .config / au-tostart / gnomehelper.desktop és módosítások történtek a .bashrc fájlban, és a futtatható fájlt $ HOME / .gvfsd / .profile / gvfsd-helper és $ HOME / .dbus / session / session néven mentették el. -dbus. Mindkét futtatható fájl egyidejűleg indult, amelyek mindegyike figyelte a másik jelenlétét, és leállítás esetén helyreállította.
A RotaJakiro összesen 12 funkciót támogat, amelyek közül három konkrét pluginok végrehajtásához kapcsolódik. Sajnos a pluginok nem láthatók, ezért nem ismerjük azok valódi célját. Széles hatchback szempontjából a funkciókat a következő négy kategóriába lehet csoportosítani.
Eszközinformációk jelentése
Lopjon bizalmas információkat
Fájl / bővítmény kezelése (ellenőrzés, letöltés, törlés)
Egy adott plugin futtatása
A tevékenységek eredményeinek a hátsó ajtón való elrejtéséhez különféle titkosítási algoritmusokat használtak, például az AES-t az erőforrások titkosításához és a kommunikációs csatorna elrejtéséhez a vezérlő szerverrel, az AES, XOR és ROTATE használat mellett kombináció tömörítéssel ZLIB segítségével. A vezérlőparancsok fogadásához a kártevő 4 tartományhoz jutott el a 443 hálózati porton keresztül (a kommunikációs csatorna a saját protokollját használta, nem a HTTPS-t és a TLS-t).
A domaineket (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com és news.thaprior.net) 2015-ben regisztrálták, és a kijevi tárhelyszolgáltató, a Deltahost üzemeltette őket. A hátsó ajtóba 12 alapvető funkció integrálódott, amelyek lehetővé teszik a fejlett funkciókkal rendelkező bővítmények betöltését és futtatását, eszközadatok átadását, érzékeny adatok elfogását és a helyi fájlok kezelését.
Fordított mérnöki szempontból RotaJakiro és Torii hasonló stílusokat mutatnak be: titkosítási algoritmusok használata érzékeny erőforrások elrejtésére, meglehetősen régimódi kitartásstílus, strukturált hálózati forgalom stb.
Végül ha érdekel, hogy többet megtudjon a kutatásról a 360 Netlab készítette, ellenőrizheti a részleteket a következő linkre kattintva.
Ne magyarázza el, hogyan szűnik meg, és hogyan lehet megtudni, hogy fertőzöttek vagyunk-e, ami káros az egészségre.
Érdekes cikk és érdekes elemzés a kísérő linken, de hiányzik egy szó a fertőzés vektoráról. Trójai program, féreg vagy csak vírus?… Mire kell vigyáznunk a fertőzés elkerülése érdekében?
És mi a különbség?
A systemd már önmagában is rosszindulatú program ..