הודיעה על מעבדת המחקר 360 Netlab זיהוי תוכנה זדונית חדשה עבור Linux, בשם קוד RotaJakiro וזה כולל יישום לדלת האחורית המאפשר לשלוט במערכת. התוקפים יכלו להתקין תוכנה זדונית לאחר ניצול פגיעות לא מתוקנות במערכת או ניחוש סיסמאות חלשות.
הדלת האחורית התגלתה במהלך ניתוח התעבורה החשוד של אחד מתהליכי המערכת שזוהו במהלך הניתוח של מבנה botnet ששימש להתקפת DDoS. לפני כן, RotaJakiro לא היה שם לב למשך שלוש שנים, ובמיוחד הניסיונות הראשונים לאמת קבצים עם חשיפות MD5 בשירות VirusTotal התואמים תוכנות זדוניות שזוהו עוד במאי 2018
קראנו לו RotaJakiro בהתבסס על העובדה שהמשפחה משתמשת בהצפנה סיבובית ומתנהגת אחרת מחשבונות שורש / לא שורש בעת הריצה.
RotaJakiro מקדיש תשומת לב רבה להסתרת עקבותיה, תוך שימוש באלגוריתמי הצפנה מרובים, כולל: שימוש באלגוריתם AES להצפנת מידע המשאבים בתוך המדגם; תקשורת C2 באמצעות שילוב של הצפנת AES, XOR, ROTATE, ודחיסת ZLIB.
אחד המאפיינים של RotaJakiro הוא השימוש בטכניקות מיסוך שונות כאשר פועלים כמשתמש ושורש חסרי זכות. כדי להסתיר את נוכחותך, התוכנה הזדונית השתמשה בשמות התהליך systemd-daemon, session-dbus ו- gvfsd-helper, אשר לאור העומס של הפצות לינוקס מודרניות עם כל מיני תהליכי שירות, נראו לגיטימיים במבט ראשון ולא עוררו חשד.
RotaJakiro משתמש בטכניקות כגון AES דינמי, פרוטוקולי תקשורת מוצפנים בשכבה כפולה כדי להתמודד עם ניתוח תעבורה בינארית ורשת.
RotaJakiro קובע תחילה אם המשתמש הוא שורש או לא שורש בזמן הריצה, עם מדיניות ביצוע שונה עבור חשבונות שונים, ואז מפענח את המשאבים הרגישים הרלוונטיים.
כאשר הם פועלים כשורש, התסריטים systemd-agent.conf ו- sys-temd-agent.service נוצרו כדי להפעיל את התוכנה הזדונית. וההפעלה הזדונית אותרה בנתיבים הבאים: / bin / systemd / systemd -daemon ו- usr / lib / systemd / systemd-daemon (פונקציונליות משוכפלת בשני קבצים).
בעוד כאשר פועל כמשתמש רגיל נעשה שימוש בקובץ ההפעלה האוטומטית $ HOME / .config / au-tostart / gnomehelper.desktop ושינויים בוצעו ב- .bashrc, וקובץ ההפעלה נשמר כ- $ HOME / .gvfsd / .profile / gvfsd-helper ו- $ HOME / .dbus / sessions / session -dbus. שני קבצי ההפעלה הושקו במקביל, כל אחד מהם פיקח על נוכחותו של השני ושחזר אותו במקרה של כיבוי.
RotaJakiro תומך בסך הכל 12 פונקציות, שלוש מהן קשורות לביצוע תוספים ספציפיים. למרבה הצער, אין לנו נראות של התוספים ולכן אנו לא יודעים את מטרתם האמיתית. מנקודת מבט רחבה על האצ'בק, ניתן לקבץ תכונות לארבע הקטגוריות הבאות.
דווח על מידע על המכשיר
גנבו מידע רגיש
ניהול קבצים / תוספים (לבדוק, להוריד, למחוק)
הפעלת תוסף ספציפי
כדי להסתיר את תוצאות פעילותה בדלת האחורית, נעשה שימוש באלגוריתמי הצפנה שונים, למשל, AES שימש להצפנת המשאבים שלה ולהסתרת ערוץ התקשורת עם שרת הבקרה, בנוסף לשימוש ב- AES, XOR ו- ROTATE ב- שילוב עם דחיסה באמצעות ZLIB. כדי לקבל פקודות בקרה, התוכנה הזדונית ניגשה ל -4 תחומים דרך יציאת הרשת 443 (ערוץ התקשורת השתמש בפרוטוקול משלו, לא ב- HTTPS ו- TLS).
התחומים (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ו- news.thaprior.net) נרשמו בשנת 2015 והתארחו על ידי ספק האירוח בקייב Deltahost. 12 פונקציות בסיסיות שולבו בדלת האחורית, ומאפשרים לך לטעון ולהפעיל תוספות עם פונקציונליות מתקדמת, להעביר נתוני מכשיר, ליירט נתונים חסויים ולנהל קבצים מקומיים.
מנקודת מבט של הנדסה לאחור, RotaJakiro ו- Torii חולקים סגנונות דומים: שימוש באלגוריתמי הצפנה כדי להסתיר משאבים רגישים, יישום סגנון התמדה מיושן למדי, תעבורת רשת מובנית וכו '.
בסופו של דבר אם אתה מעוניין ללמוד עוד על המחקר מתוצרת 360 Netlab, תוכלו לבדוק את הפרטים על ידי מעבר לקישור הבא.
אל תסביר כיצד זה מסולק או איך לדעת אם אנו נגועים או לא, דבר הרע לבריאות.
מאמר מעניין וניתוח מעניין בקישור שמלווה אותו, אבל אני מתגעגע למילה על וקטור הזיהום. האם זה טרויאני, תולעת או סתם וירוס? ... על מה עלינו להיזהר כדי למנוע את ההדבקה שלנו?
ומה ההבדל?
כשלעצמו systemd היא כבר תוכנה זדונית ..