Paskelbta „360 Netlab“ tyrimų laboratorija naujos „Linux“ kenkėjiškos programos, kodiniu pavadinimu, identifikavimas „RotaJakiro“ ir tai apima „backdoor“ įgyvendinimą tai leidžia valdyti sistemą. Užpuolikai galėjo panaudoti kenksmingą programinę įrangą pasinaudoję nepataisytais sistemos pažeidžiamumais arba atspėję silpnus slaptažodžius.
Galinė duris atrado atlikus įtartiną eismo analizę vieno iš sistemos procesų, nustatytų analizuojant DDoS atakai naudojamo roboto tinklo struktūrą. Prieš tai RotaJakiro trejus metus nebuvo pastebėtas, visų pirma, pirmieji bandymai patikrinti failus su MD5 maišos paslaugoje „VirusTotal“, kurie atitinka aptiktą kenkėjišką programą, prasidėjo 2018 m. Gegužės mėn.
Mes jį pavadinome „RotaJakiro“, remdamiesi tuo, kad šeima naudoja rotacinį šifravimą ir, vykdydama, elgiasi kitaip nei „root“ / „root“ paskyros.
„RotaJakiro“ skiria daug dėmesio, kad paslėptų savo pėdsakus, naudodamas kelis šifravimo algoritmus, įskaitant: AES algoritmo naudojimą šifruojant imties informaciją apie išteklius; C2 ryšys naudojant AES, XOR, ROTATE šifravimo ir ZLIB glaudinimo derinį.
Viena iš „RotaJakiro“ savybių yra skirtingų maskavimo būdų naudojimas kai paleistas kaip neprivilegijuotas vartotojas ir root. Norėdami paslėpti savo buvimą, kenkėjiška programa naudojo procesų pavadinimus systemd-daemon, session-dbus ir gvfsd-helper, kurie, atsižvelgiant į šiuolaikinių „Linux“ paskirstymų netvarką su įvairiausiais paslaugų procesais, iš pirmo žvilgsnio atrodė teisėti ir nesukėlė įtarimų.
„RotaJakiro“ naudoja tokias technologijas kaip dinaminis AES, dvisluoksniai užšifruoti ryšio protokolai, kad būtų išvengta dvejetainio ir tinklo srauto analizės.
„RotaJakiro“ pirmiausia nustato, ar vartotojas yra root, ar ne root vykdymo metu, su skirtingomis paskyrų vykdymo politikomis, tada iššifruoja atitinkamus neskelbtinus išteklius.
Paleidus kaip šakninę sistemą, „systemd-agent.conf“ ir „sys-temd-agent.service“ scenarijai buvo sukurti kenkėjiškai programai suaktyvinti. ir kenkėjiškas vykdomasis failas buvo šiuose keliuose: / bin / systemd / systemd -daemon ir / usr / lib / systemd / systemd-daemon (funkcionalumas dubliuojamas dviejuose failuose).
O kai paleistas kaip įprastas vartotojas, buvo naudojamas autorun failas $ HOME / .config / au-tostart / gnomehelper.desktop ir buvo atlikti pakeitimai .bashrc, o vykdomasis failas buvo išsaugotas kaip $ HOME / .gvfsd / .profile / gvfsd-helper ir $ HOME / .dbus / session / session -dbus. Abu vykdomieji failai buvo paleisti tuo pačiu metu, kiekvienas iš jų stebėjo kito buvimą ir atstatė jį išjungimo atveju.
„RotaJakiro“ palaiko iš viso 12 funkcijų, iš kurių trys yra susijusios su konkrečių papildinių vykdymu. Deja, įskiepiai nėra matomi, todėl nežinome tikro jų tikslo. Žvelgiant iš plačios hečbeko perspektyvos, funkcijas galima sugrupuoti į šias keturias kategorijas.
Pranešti apie įrenginio informaciją
Pavogti neskelbtiną informaciją
Failų / įskiepių tvarkymas (tikrinimas, atsisiuntimas, ištrynimas)
Vykdomas konkretus papildinys
Norėdami paslėpti savo veiklos rezultatus užpakalinėje dalyje, buvo naudojami įvairūs šifravimo algoritmai, pavyzdžiui, AES buvo naudojamas užšifruoti jos išteklius ir paslėpti ryšio kanalą su valdymo serveriu, be AES, XOR ir ROTATE naudojimo derinimas su suspaudimu naudojant ZLIB. Norėdami gauti valdymo komandas, kenkėjiška programa per 4 tinklo prievadą pasiekė 443 domenus (ryšio kanalas naudojo savo protokolą, o ne HTTPS ir TLS).
Domenai (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ir news.thaprior.net) buvo užregistruoti 2015 m. Ir juos priėmė Kijevo prieglobos paslaugų teikėjas „Deltahost“. Į galines duris buvo integruota 12 pagrindinių funkcijų, leidžiančių įkelti ir paleisti pažangių funkcijų priedus, perkelti įrenginio duomenis, perimti neskelbtinus duomenis ir tvarkyti vietinius failus.
Žvelgiant iš atvirkštinės inžinerijos perspektyvos, RotaJakiro ir Torii naudojasi panašiais stiliais: šifravimo algoritmų naudojimas slėpti jautrius išteklius, gana senamadiško atkaklumo stiliaus įgyvendinimas, struktūrizuotas tinklo srautas ir kt.
Pagaliau jei jus domina daugiau sužinoti apie tyrimą padarė „360 Netlab“, galite patikrinti išsamią informaciją eidami į šią nuorodą.
Neaiškinkite, kaip jis pašalinamas, ir kaip žinoti, ar mes esame užsikrėtę, ar ne, o tai kenkia sveikatai.
Įdomus straipsnis ir įdomi analizė jį lydinčioje nuorodoje, bet aš praleidau žodį apie infekcijos pernešėją. Ar tai Trojos arklys, ar kirminas, ar tiesiog virusas? ... Ką turėtume saugotis, kad išvengtume infekcijos?
O koks skirtumas?
Sistema pati savaime jau yra kenkėjiška programa ..