ರೋಟಾಜಾಕಿರೊ: ಸಿಸ್ಟಮ್‌ಡ್ ಪ್ರಕ್ರಿಯೆಯ ವೇಷದಲ್ಲಿರುವ ಹೊಸ ಲಿನಕ್ಸ್ ಮಾಲ್‌ವೇರ್

Darkcrizt

4 ನಿಮಿಷಗಳು

ರಿಸರ್ಚ್ ಲ್ಯಾಬ್ 360 ನೆಟ್‌ಲ್ಯಾಬ್ ಘೋಷಿಸಿದೆ ಸಂಕೇತನಾಮ ಹೊಂದಿರುವ ಲಿನಕ್ಸ್‌ಗಾಗಿ ಹೊಸ ಮಾಲ್‌ವೇರ್ ಗುರುತಿಸುವಿಕೆ ರೋಟಾಜಾಕಿರೊ ಮತ್ತು ಅದು ಹಿಂಬಾಗಿಲಿನ ಅನುಷ್ಠಾನವನ್ನು ಒಳಗೊಂಡಿದೆ ಅದು ವ್ಯವಸ್ಥೆಯನ್ನು ನಿಯಂತ್ರಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಸರಿಪಡಿಸದ ದೋಷಗಳನ್ನು ಬಳಸಿಕೊಂಡ ನಂತರ ಅಥವಾ ದುರ್ಬಲ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ess ಹಿಸಿದ ನಂತರ ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಬಹುದಿತ್ತು.

ಸಂಶಯಾಸ್ಪದ ಸಂಚಾರ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಹಿಂಬಾಗಿಲನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು DDoS ದಾಳಿಗೆ ಬಳಸುವ ಬೋಟ್‌ನೆಟ್ ರಚನೆಯ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಗುರುತಿಸಲಾದ ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಇದಕ್ಕೂ ಮೊದಲು, ರೋಟಾಜಕಿರೊ ಮೂರು ವರ್ಷಗಳವರೆಗೆ ಗಮನಕ್ಕೆ ಬಂದಿಲ್ಲ, ನಿರ್ದಿಷ್ಟವಾಗಿ, ವೈರಸ್‌ಟೋಟಲ್ ಸೇವೆಯಲ್ಲಿ ಎಂಡಿ 5 ಹ್ಯಾಶ್‌ಗಳೊಂದಿಗೆ ಫೈಲ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಮೊದಲ ಪ್ರಯತ್ನಗಳು ಪತ್ತೆಯಾದ ಮಾಲ್‌ವೇರ್ ದಿನಾಂಕವನ್ನು ಮೇ 2018 ಕ್ಕೆ ಹಿಂದಿನದು.

ಕುಟುಂಬವು ರೋಟರಿ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ರೂಟ್ / ರೂಟ್ ಅಲ್ಲದ ಖಾತೆಗಳಿಂದ ಭಿನ್ನವಾಗಿ ವರ್ತಿಸುತ್ತದೆ ಎಂಬ ಅಂಶವನ್ನು ಆಧರಿಸಿ ನಾವು ಇದನ್ನು ರೋಟಾಜಾಕಿರೋ ಎಂದು ಹೆಸರಿಸಿದ್ದೇವೆ.

ರೋಟಾಜಾಕಿರೊ ತನ್ನ ಕುರುಹುಗಳನ್ನು ಮರೆಮಾಡಲು ಹೆಚ್ಚು ಗಮನ ಹರಿಸುತ್ತದೆ, ಅವುಗಳೆಂದರೆ: ಅವುಗಳೆಂದರೆ: ಮಾದರಿಯೊಳಗಿನ ಸಂಪನ್ಮೂಲ ಮಾಹಿತಿಯನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಎಇಎಸ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುವುದು; ಎಇಎಸ್, ಎಕ್ಸ್‌ಒಆರ್, ರೊಟೇಟ್ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಮತ್ತು L ಡ್‌ಎಲ್‌ಐಬಿ ಕಂಪ್ರೆಷನ್ ಸಂಯೋಜನೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಿ 2 ಸಂವಹನ.

ರೋಟಾಜಕಿರೊದ ಒಂದು ಗುಣಲಕ್ಷಣವೆಂದರೆ ವಿಭಿನ್ನ ಮರೆಮಾಚುವ ತಂತ್ರಗಳ ಬಳಕೆ ಅಪ್ರತಿಮ ಬಳಕೆದಾರ ಮತ್ತು ರೂಟ್‌ನಂತೆ ಚಲಾಯಿಸಿದಾಗ. ನಿಮ್ಮ ಇರುವಿಕೆಯನ್ನು ಮರೆಮಾಡಲು, ಮಾಲ್ವೇರ್ ಸಿಸ್ಟಮ್ಡ್-ಡೀಮನ್ ಎಂಬ ಪ್ರಕ್ರಿಯೆಯ ಹೆಸರುಗಳನ್ನು ಬಳಸಿದೆ, ಸೆಷನ್-ಡಿಬಸ್ ಮತ್ತು ಜಿವಿಎಫ್ಎಸ್ಡಿ-ಸಹಾಯಕ, ಎಲ್ಲಾ ರೀತಿಯ ಸೇವಾ ಪ್ರಕ್ರಿಯೆಗಳೊಂದಿಗೆ ಆಧುನಿಕ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳ ಗೊಂದಲವನ್ನು ನೀಡಿ, ಮೊದಲ ನೋಟದಲ್ಲಿ ನ್ಯಾಯಸಮ್ಮತವೆಂದು ತೋರುತ್ತದೆ ಮತ್ತು ಅನುಮಾನವನ್ನು ಹುಟ್ಟುಹಾಕಲಿಲ್ಲ.

ಬೈನರಿ ಮತ್ತು ನೆಟ್‌ವರ್ಕ್ ಟ್ರಾಫಿಕ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಎದುರಿಸಲು ರೋಟಾಜಾಕಿರೊ ಡೈನಾಮಿಕ್ ಎಇಎಸ್, ಡಬಲ್-ಲೇಯರ್ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಸಂವಹನ ಪ್ರೋಟೋಕಾಲ್‌ಗಳಂತಹ ತಂತ್ರಗಳನ್ನು ಬಳಸುತ್ತದೆ.
ರೋಟಾಜಾಕಿರೊ ಮೊದಲು ಬಳಕೆದಾರನು ರನ್ಟೈಮ್ನಲ್ಲಿ ರೂಟ್ ಅಥವಾ ರೂಟ್ ಅಲ್ಲವೇ ಎಂದು ನಿರ್ಧರಿಸುತ್ತಾನೆ, ವಿಭಿನ್ನ ಖಾತೆಗಳಿಗೆ ವಿಭಿನ್ನ ಮರಣದಂಡನೆ ನೀತಿಗಳೊಂದಿಗೆ, ನಂತರ ಸಂಬಂಧಿತ ಸೂಕ್ಷ್ಮ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ.

ರೂಟ್‌ನಂತೆ ಚಲಾಯಿಸಿದಾಗ, ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು systemd-agent.conf ಮತ್ತು sys-temd-agent.service ಸ್ಕ್ರಿಪ್ಟ್‌ಗಳನ್ನು ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದವು ಈ ಕೆಳಗಿನ ಮಾರ್ಗಗಳಲ್ಲಿದೆ: / bin / systemd / systemd -daemon ಮತ್ತು / usr / lib / systemd / systemd-ಡೀಮನ್ (ಕ್ರಿಯಾತ್ಮಕತೆಯನ್ನು ಎರಡು ಫೈಲ್‌ಗಳಲ್ಲಿ ನಕಲು ಮಾಡಲಾಗಿದೆ).

ಹಾಗೆಯೇ ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಆಟೊರನ್ ಫೈಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ $ HOME / .config / au-tostart / gnomehelper.desktop ಮತ್ತು .bashrc ಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲಾಗಿದೆ, ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು $ HOME / .gvfsd / .profile / gvfsd-helper ಮತ್ತು $ HOME / .dbus / session / session -ಡಿಬಸ್. ಎರಡೂ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳನ್ನು ಒಂದೇ ಸಮಯದಲ್ಲಿ ಪ್ರಾರಂಭಿಸಲಾಯಿತು, ಪ್ರತಿಯೊಂದೂ ಇನ್ನೊಂದರ ಉಪಸ್ಥಿತಿಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಸ್ಥಗಿತದ ಸಂದರ್ಭದಲ್ಲಿ ಅದನ್ನು ಮರುಸ್ಥಾಪಿಸುತ್ತದೆ.

ರೋಟಾಜಕಿರೊ ಒಟ್ಟು 12 ಕಾರ್ಯಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಅವುಗಳಲ್ಲಿ ಮೂರು ನಿರ್ದಿಷ್ಟ ಪ್ಲಗ್‌ಇನ್‌ಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಗೆ ಸಂಬಂಧಿಸಿವೆ. ದುರದೃಷ್ಟವಶಾತ್, ನಮಗೆ ಪ್ಲಗಿನ್‌ಗಳ ಗೋಚರತೆ ಇಲ್ಲ ಮತ್ತು ಆದ್ದರಿಂದ ಅವುಗಳ ನಿಜವಾದ ಉದ್ದೇಶ ನಮಗೆ ತಿಳಿದಿಲ್ಲ. ವಿಶಾಲ ಹ್ಯಾಚ್‌ಬ್ಯಾಕ್ ದೃಷ್ಟಿಕೋನದಿಂದ, ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಈ ಕೆಳಗಿನ ನಾಲ್ಕು ವರ್ಗಗಳಾಗಿ ವಿಂಗಡಿಸಬಹುದು.

ಸಾಧನದ ಮಾಹಿತಿಯನ್ನು ವರದಿ ಮಾಡಿ
ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಯನ್ನು ಕದಿಯಿರಿ
ಫೈಲ್ / ಪ್ಲಗಿನ್ ನಿರ್ವಹಣೆ (ಪರಿಶೀಲಿಸಿ, ಡೌನ್‌ಲೋಡ್ ಮಾಡಿ, ಅಳಿಸಿ)
ನಿರ್ದಿಷ್ಟ ಪ್ಲಗಿನ್ ಚಾಲನೆಯಲ್ಲಿದೆ

ಅದರ ಚಟುವಟಿಕೆಗಳ ಫಲಿತಾಂಶಗಳನ್ನು ಹಿಂಬಾಗಿಲಿನಲ್ಲಿ ಮರೆಮಾಡಲು, ವಿವಿಧ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕ್ರಮಾವಳಿಗಳನ್ನು ಬಳಸಲಾಗುತ್ತಿತ್ತು, ಉದಾಹರಣೆಗೆ, ಎಇಎಸ್ ಅನ್ನು ಅದರ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಮತ್ತು ಸಂವಹನ ಸರ್ವರ್ ಅನ್ನು ನಿಯಂತ್ರಣ ಸರ್ವರ್‌ನೊಂದಿಗೆ ಮರೆಮಾಡಲು ಬಳಸಲಾಗುತ್ತಿತ್ತು, ಜೊತೆಗೆ ಎಇಎಸ್, ಎಕ್ಸ್‌ಒಆರ್ ಮತ್ತು ರೊಟೇಟ್ ಅನ್ನು ಬಳಸಲಾಯಿತು ZLIB ಬಳಸಿ ಸಂಕೋಚನದೊಂದಿಗೆ ಸಂಯೋಜನೆ. ನಿಯಂತ್ರಣ ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸಲು, ಮಾಲ್ವೇರ್ ನೆಟ್‌ವರ್ಕ್ ಪೋರ್ಟ್ 4 ಮೂಲಕ 443 ಡೊಮೇನ್‌ಗಳನ್ನು ಪ್ರವೇಶಿಸಿತು (ಸಂವಹನ ಚಾನಲ್ ತನ್ನದೇ ಆದ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿದೆ, ಆದರೆ ಎಚ್‌ಟಿಟಿಪಿಎಸ್ ಮತ್ತು ಟಿಎಲ್‌ಎಸ್ ಅಲ್ಲ).

ಡೊಮೇನ್‌ಗಳನ್ನು (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com, ಮತ್ತು news.thaprior.net) 2015 ರಲ್ಲಿ ನೋಂದಾಯಿಸಲಾಗಿದೆ ಮತ್ತು ಕೀವ್ ಹೋಸ್ಟಿಂಗ್ ಪ್ರೊವೈಡರ್ ಡೆಲ್ಟಾಹೋಸ್ಟ್ ಆಯೋಜಿಸಿದೆ. 12 ಮೂಲಭೂತ ಕಾರ್ಯಗಳನ್ನು ಹಿಂದಿನ ಬಾಗಿಲಿಗೆ ಸಂಯೋಜಿಸಲಾಗಿದೆ, ಇದು ಸುಧಾರಿತ ಕ್ರಿಯಾತ್ಮಕತೆಯೊಂದಿಗೆ ಪ್ಲಗಿನ್‌ಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಚಲಾಯಿಸಲು, ಸಾಧನದ ಡೇಟಾವನ್ನು ವರ್ಗಾಯಿಸಲು, ಗೌಪ್ಯ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಮತ್ತು ಸ್ಥಳೀಯ ಫೈಲ್‌ಗಳನ್ನು ನಿರ್ವಹಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.

ರಿವರ್ಸ್ ಎಂಜಿನಿಯರಿಂಗ್ ದೃಷ್ಟಿಕೋನದಿಂದ, ರೋಟಾಜಾಕಿರೊ ಮತ್ತು ಟೋರಿ ಒಂದೇ ರೀತಿಯ ಶೈಲಿಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳುತ್ತಾರೆ: ಸೂಕ್ಷ್ಮ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಮರೆಮಾಡಲು ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕ್ರಮಾವಳಿಗಳ ಬಳಕೆ, ಹಳೆಯ-ಶೈಲಿಯ ನಿರಂತರ ಶೈಲಿಯ ಅನುಷ್ಠಾನ, ರಚನಾತ್ಮಕ ನೆಟ್‌ವರ್ಕ್ ಸಂಚಾರ, ಇತ್ಯಾದಿ.

ಅಂತಿಮವಾಗಿ ನೀವು ಸಂಶೋಧನೆಯ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ 360 ನೆಟ್‌ಲ್ಯಾಬ್‌ನಿಂದ ತಯಾರಿಸಲ್ಪಟ್ಟಿದೆ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್‌ಗೆ ಹೋಗುವ ಮೂಲಕ.


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: AB ಇಂಟರ್ನೆಟ್ ನೆಟ್ವರ್ಕ್ಸ್ 2008 SL
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.

  1.   ತಪ್ಪು ಮಾಹಿತಿ ಡಿಜೊ
    ಮಾಡುತ್ತದೆ 3 ವರ್ಷಗಳ

    ಅದು ಹೇಗೆ ನಿವಾರಣೆಯಾಗುತ್ತದೆ ಅಥವಾ ನಾವು ಸೋಂಕಿಗೆ ಒಳಗಾಗಿದ್ದೇವೆಯೇ ಅಥವಾ ಇಲ್ಲವೇ ಎಂದು ತಿಳಿಯುವುದು ಹೇಗೆ, ಅದು ಆರೋಗ್ಯಕ್ಕೆ ಕೆಟ್ಟದು.

    ತಪ್ಪು ಮಾಹಿತಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸಿ
  2.   ಮೆರ್ಲಿನ್ ದಿ ಮ್ಯಾಜಿಶಿಯನ್ಸ್ ಡಿಜೊ
    ಮಾಡುತ್ತದೆ 3 ವರ್ಷಗಳ

    ಅದರೊಂದಿಗೆ ಬರುವ ಲಿಂಕ್‌ನಲ್ಲಿ ಆಸಕ್ತಿದಾಯಕ ಲೇಖನ ಮತ್ತು ಆಸಕ್ತಿದಾಯಕ ವಿಶ್ಲೇಷಣೆ, ಆದರೆ ಸೋಂಕಿನ ವೆಕ್ಟರ್ ಬಗ್ಗೆ ನಾನು ಒಂದು ಪದವನ್ನು ಕಳೆದುಕೊಳ್ಳುತ್ತೇನೆ. ಇದು ಟ್ರೋಜನ್, ವರ್ಮ್ ಅಥವಾ ವೈರಸ್ ಆಗಿದೆಯೇ?… ನಮ್ಮ ಸೋಂಕನ್ನು ತಪ್ಪಿಸಲು ನಾವು ಏನು ಜಾಗರೂಕರಾಗಿರಬೇಕು?

    ಮೆರ್ಲಿನ್ ದ ಜಾದೂಗಾರನಿಗೆ ಪ್ರತ್ಯುತ್ತರಿಸಿ
  3.   ಲುಯಿಕ್ಸ್ ಡಿಜೊ
    ಮಾಡುತ್ತದೆ 3 ವರ್ಷಗಳ

    ಮತ್ತು ವ್ಯತ್ಯಾಸವೇನು?
    ಸ್ವತಃ systemd ಈಗಾಗಲೇ ಮಾಲ್ವೇರ್ ಆಗಿದೆ ..

    ಲುಯಿಕ್ಸ್‌ಗೆ ಪ್ರತ್ಯುತ್ತರಿಸಿ