RotaJakiro：systemdプロセスを装った新しいLinuxマルウェア

Research Lab 360Netlabが発表されました コードネームが付けられたLinux用の新しいマルウェアの識別 RotaJakiroとそれはバックドアの実装を含みます それはシステムを制御することを可能にします。 攻撃者は、システムの修復されていない脆弱性を悪用したり、脆弱なパスワードを推測したりした後、悪意のあるソフトウェアをインストールした可能性があります。

疑わしいトラフィック分析中にバックドアが発見されました DDoS攻撃に使用されたボットネット構造の分析中に特定されたシステムプロセスの5つ。 これに先立ち、RotaJakiroは2018年間見過ごされていました。特に、検出されたマルウェアと一致するVirusTotalサービスのMDXNUMXハッシュを使用したファイルを検証する最初の試みはXNUMX年XNUMX月にさかのぼります。

ファミリーがロータリー暗号化を使用し、実行時のルート/非ルートアカウントとは異なる動作をするという事実に基づいて、RotaJakiroと名付けました。

RotaJakiroは、次のような複数の暗号化アルゴリズムを使用して、トレースを非表示にすることに多くの注意を払っています。サンプル内のリソース情報を暗号化するためのAESアルゴリズムの使用。 AES、XOR、ROTATE暗号化、およびZLIB圧縮の組み合わせを使用したC2通信。

RotaJakiroの特徴のXNUMXつは、さまざまなマスキング手法の使用です。 非特権ユーザーおよびルートとして実行された場合。 あなたの存在を隠すために, マルウェアはsystemd-daemonというプロセス名を使用していました、session-dbusとgvfsd-helperは、あらゆる種類のサービスプロセスを備えた最新のLinuxディストリビューションが散らかっていることを考えると、一見正当であるように見え、疑惑を引き起こしませんでした。

RotaJakiroは、動的AES、XNUMX層暗号化通信プロトコルなどの技術を使用して、バイナリおよびネットワークトラフィック分析に対抗します。
RotaJakiroは、最初にユーザーが実行時にrootであるか非rootであるかを判断し、アカウントごとに異なる実行ポリシーを使用してから、関連する機密リソースを復号化します。

rootとして実行すると、マルウェアをアクティブ化するためにsystemd-agent.confスクリプトとsys-temd-agent.serviceスクリプトが作成されました 悪意のある実行可能ファイルは、次のパス内にありました：/ bin / systemd / systemd-daemonおよび/ usr / lib / systemd / systemd-daemon（機能がXNUMXつのファイルに複製されています）。

つつ 通常のユーザーとして実行すると、自動実行ファイルが使用されました $ HOME / .config / au-tostart / gnomehelper.desktopおよび.bashrcに変更が加えられ、実行可能ファイルは$ HOME / .gvfsd / .profile / gvfsd-helperおよび$ HOME / .dbus /セッション/セッションとして保存されました。 -dbus。 両方の実行可能ファイルが同時に起動され、それぞれが他方の存在を監視し、シャットダウン時に復元しました。

RotaJakiroは合計12の機能をサポートしており、そのうちXNUMXつは特定のプラグインの実行に関連しています。 残念ながら、プラグインの可視性がないため、プラグインの真の目的がわかりません。 広いハッチバックの観点から、機能は次のXNUMXつのカテゴリに分類できます。

デバイス情報を報告する
機密情報を盗む
ファイル/プラグイン管理（チェック、ダウンロード、削除）
特定のプラグインを実行する

バックドアでのアクティビティの結果を非表示にするために、さまざまな暗号化アルゴリズムが使用されました。たとえば、AES、XOR、ROTATEの使用に加えて、AESを使用してリソースを暗号化し、制御サーバーとの通信チャネルを非表示にしました。 ZLIBを使用した圧縮との組み合わせ。 マルウェアは、制御コマンドを受信するために、ネットワークポート4を介して443つのドメインにアクセスしました（通信チャネルは、HTTPSやTLSではなく独自のプロトコルを使用していました）。

ドメイン（cdn.mirror-codes.net、status.sublineover.net、blog.eduelects.com、news.thaprior.net）は、2015年に登録され、キエフのホスティングプロバイダーであるDeltahostによってホストされました。 12の基本機能がバックドアに統合され、高度な機能を備えたアドオンのロードと実行、デバイスデータの転送、機密データの傍受、ローカルファイルの管理が可能になりました。

リバースエンジニアリングの観点から、RotaJakiroとToriiは同様のスタイルを共有しています。機密リソースを隠すための暗号化アルゴリズムの使用、かなり古風な永続化スタイルの実装、構造化されたネットワークトラフィックなどです。

最後に 研究についてもっと知りたい場合 360 Netlab製で、詳細を確認できます 次のリンクにアクセスしてください。