Paziņots Research Lab 360 Netlab jaunas Linux ļaunprātīgas programmatūras identifikācija ar kodu RotaJakiro un tajā ietilpst aizmugures ieviešana kas ļauj kontrolēt sistēmu. Uzbrucēji varētu būt instalējuši ļaunprātīgu programmatūru pēc tam, kad ir izmantojuši neremontētus ievainojamības sistēmā vai uzminējuši vājas paroles.
Aizmugure tika atklāta aizdomīgas satiksmes analīzes laikā vienam no sistēmas procesiem, kas identificēti DDoS uzbrukumam izmantotās robottīkla struktūras analīzes laikā. Pirms tam RotaJakiro trīs gadus netika pamanīts, jo īpaši pirmie mēģinājumi pārbaudīt failus ar MD5 jaukumiem pakalpojumā VirusTotal, kas atbilst konstatētajai ļaunprātīgai programmatūrai, datēti ar 2018. gada maiju.
Mēs to nosaucām par RotaJakiro, pamatojoties uz faktu, ka ģimene izmanto rotējošo šifrēšanu un, darbojoties, rīkojas atšķirīgi no root / non-root kontiem.
RotaJakiro pievērš lielu uzmanību, lai paslēptu pēdas, izmantojot vairākus šifrēšanas algoritmus, tostarp: AES algoritma izmantošanu, lai šifrētu informāciju par resursiem izlasē; C2 komunikācija, izmantojot AES, XOR, ROTATE šifrēšanas un ZLIB saspiešanas kombināciju.
Viena no RotaJakiro īpašībām ir dažādu maskēšanas paņēmienu izmantošana palaižot kā privileģētu lietotāju un root. Lai paslēptu savu klātbūtni, ļaunprogrammatūra izmantoja procesu nosaukumus systemd-daemon, session-dbus un gvfsd-helper, kas, ņemot vērā mūsdienu Linux izplatīšanas jucekli ar visdažādākajiem servisa procesiem, no pirmā acu uzmetiena šķita likumīgi un neradīja aizdomas.
RotaJakiro izmanto tādas metodes kā dinamisko AES, divslāņu šifrētus sakaru protokolus, lai novērstu bināro un tīkla trafiku analīzi.
RotaJakiro vispirms nosaka, vai izpildlaika laikā lietotājs ir root vai nav root, ar atšķirīgu izpildes politiku dažādiem kontiem, pēc tam atšifrē attiecīgos sensitīvos resursus.
Palaižot kā root, tika izveidoti skripti systemd-agent.conf un sys-temd-agent.service, lai aktivizētu ļaunprogrammatūru. un ļaunprātīgais izpildāmais fails atradās šādos ceļos: / bin / systemd / systemd -daemon un / usr / lib / systemd / systemd-daemon (funkcionalitāte dublēta divos failos).
kamēr palaižot kā parastu lietotāju, tika izmantots autorun fails $ HOME / .config / au-tostart / gnomehelper.desktop un tika veiktas izmaiņas .bashrc, un izpildāmais fails tika saglabāts kā $ HOME / .gvfsd / .profile / gvfsd-helper un $ HOME / .dbus / session / session -dbus. Abi izpildāmie faili tika palaisti vienlaikus, un katrs no tiem uzraudzīja otra klātbūtni un atjaunoja to izslēgšanas gadījumā.
RotaJakiro kopā atbalsta 12 funkcijas, no kurām trīs ir saistītas ar konkrētu spraudņu izpildi. Diemžēl mums nav spraudņu redzamības, un tāpēc mēs nezinām to patieso mērķi. No plašā hečbeka viedokļa funkcijas var sagrupēt šādās četrās kategorijās.
Ziņot par ierīces informāciju
Nozog sensitīvu informāciju
Failu / spraudņu pārvaldība (pārbaude, lejupielāde, dzēšana)
Palaist noteiktu spraudni
Lai slēptu savas darbības rezultātus aizmugurējā durvī, tika izmantoti dažādi šifrēšanas algoritmi, piemēram, AES tika izmantots tā resursu šifrēšanai un komunikācijas kanāla slēpšanai ar vadības serveri papildus AES, XOR un ROTATE izmantošanai kombinācija ar saspiešanu, izmantojot ZLIB. Lai saņemtu vadības komandas, ļaunprātīgā programmatūra piekļuva 4 domēniem, izmantojot tīkla 443. portu (sakaru kanāls izmantoja savu protokolu, nevis HTTPS un TLS).
Domēni (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com un news.thaprior.net) tika reģistrēti 2015. gadā, un tos mitināja Kijevas mitināšanas pakalpojumu sniedzējs Deltahost. Aizmugurējās durvīs tika integrētas 12 pamatfunkcijas, kas ļauj ielādēt un palaist papildinājumus ar uzlabotu funkcionalitāti, pārsūtīt ierīces datus, pārtvert sensitīvus datus un pārvaldīt vietējos failus.
No reversās inženierijas viedokļa RotaJakiro un Torii ir līdzīgi stili: šifrēšanas algoritmu izmantošana sensitīvu resursu slēpšanai, diezgan vecmodīga noturības stila ieviešana, strukturēta tīkla trafika utt.
Beidzot ja jūs interesē uzzināt vairāk par pētījumu izveidojis 360 Netlab, varat pārbaudīt informāciju pārejot uz šo saiti.
Neizskaidrojiet, kā tas tiek likvidēts, un kā zināt, vai mēs esam inficēti vai nē, kas ir kaitīgs veselībai.
Interesants raksts un interesanta analīze tam pievienotajā saitē, bet man pietrūkst vārda par infekcijas vektoru. Vai tas ir Trojas zirgs, tārps vai vienkārši vīruss? ... Kas mums būtu jāuzmanās, lai izvairītos no mūsu infekcijas?
Un kāda ir atšķirība?
Pati par sevi systemd jau ir ļaunprātīga programmatūra ..