रोटाजाकिरो: नवीन लिनक्स मालवेयर सिस्टमड प्रोसेस म्हणून वेशात आहेत

Darkcrizt

4 मिनिटे

रिसर्च लॅब Net 360० नेटलाबची घोषणा लिनक्ससाठी नवीन मालवेयरची ओळख, कोडनेम रोटाजाकिरो आणि त्यामध्ये बॅकडोर अंमलबजावणीचा समावेश आहे हे प्रणाली नियंत्रित करण्यास अनुमती देते. सिस्टीममधील अतुलनीय असुरक्षिततेचे शोषण केल्यामुळे किंवा कमकुवत संकेतशब्दाचा अंदाज घेतल्यानंतर हल्लेखोरांनी दुर्भावनायुक्त सॉफ्टवेअर स्थापित केले असते.

संशयास्पद रहदारी विश्लेषणादरम्यान बॅकडोरचा शोध लागला डीडीओएस हल्ल्यासाठी वापरल्या जाणार्‍या बॉटनेट संरचनेच्या विश्लेषणा दरम्यान ओळखल्या गेलेल्या सिस्टम प्रक्रियेपैकी एक. याआधी, रोटाजाकिरोने तीन वर्ष लक्ष न दिलेले पाहिले, विशेषत:, वायरस टोटल सेवेवर एमडी 5 हॅशसह फायली सत्यापित करण्याचा पहिला प्रयत्न ज्याने मे २०१ to पर्यंतच्या मालवेयरची तारीख जुळविली.

कुटुंब रोटरी एन्क्रिप्शन वापरते आणि चालू असताना रूट / नॉन-रूट खात्यांपेक्षा भिन्न वर्तन करते या आधारावर आम्ही त्याचे नाव रोटाजाकिरो ठेवले.

रोटाजाकिरो आपले निशान लपविण्यासाठी खूप लक्ष देते, एकाधिक एन्क्रिप्शन अल्गोरिदम वापरुन, यासह: नमुना मधील संसाधन माहिती कूटबद्ध करण्यासाठी एईएस अल्गोरिदमचा वापर; एईएस, एक्सओआर, रोटेट एन्क्रिप्शन आणि झेडएलआयबी कॉम्प्रेशनचे संयोजन वापरून सी 2 कम्युनिकेशन.

रोटाजाकिरोच्या वैशिष्ट्यांपैकी एक म्हणजे विविध मास्किंग तंत्राचा वापर जेव्हा अनप्रिव्हिलेज्ड वापरकर्ता आणि रूट म्हणून चालवा. आपली उपस्थिती लपविण्यासाठी, मालवेयरने प्रक्रिया नावे systemd-daemon वापरली, सेशन-डीबीस व जीव्हीएफएसडी-हेल्पर, ज्यास सर्व प्रकारच्या सर्व्हिस प्रोसेससह आधुनिक लिनक्स डिस्ट्रिब्युशनचा गोंधळ उडाला, पहिल्या दृष्टीक्षेपात ते वैध वाटले आणि संशयाला जागृत केले नाही.

रोटाजाकिरो बायनरी आणि नेटवर्क रहदारी विश्लेषणास प्रतिरोध करण्यासाठी डायनॅमिक एईएस, डबल-लेयर एन्क्रिप्टेड कम्युनिकेशन प्रोटोकॉल सारख्या तंत्राचा वापर करते.
विविध खात्यांसाठी भिन्न अंमलबजावणी धोरणासह, रनटाइमवेळी वापरकर्ता रूट किंवा नॉन-रूट आहे की नाही हे रोटाजाकिरो प्रथम ठरवते, त्यानंतर संबंधित संवेदनशील संसाधनांना डिक्रिप्ट करते.

रूट म्हणून चालवित असताना, मालवेयर सक्रिय करण्यासाठी systemd-एजंट कन्टफ आणि सिस्टीम-टेमडी-एजंट.सर्व्हिस स्क्रिप्ट तयार केली गेली. आणि दुर्भावनायुक्त एक्झिक्युटेबल खालील पथांमध्ये स्थित होते: / बिन / सिस्टमडी / सिस्टमडी-डेमन आणि / usr / lib / systemd / systemd-daemon (कार्यक्षमता दोन फायलींमध्ये डुप्लिकेट केलेली).

तर सामान्य वापरकर्ता म्हणून चालवित असताना ऑटोरन फाईल वापरली जात असे OME HOME / .config / au-tostart / gnomehelper.desktop आणि .bashrc मध्ये बदल केले गेले आणि एक्झिक्युटेबल फाइल $ HOME / .gvfsd / .profile / gvfsd-helper आणि $ HOME / .dbus / सत्र / सत्र म्हणून जतन केली गेली. -डबस दोन्ही एक्झिक्युटेबल फायली एकाच वेळी लाँच केल्या गेल्या, त्यापैकी प्रत्येकाने दुसर्‍याच्या उपस्थितीचे परीक्षण केले आणि बंद झाल्यास त्या पुनर्संचयित केल्या.

रोटाजाकिरो एकूण 12 फंक्शन्सना समर्थन देते, त्यातील तीन विशिष्ट प्लगइन्सच्या अंमलबजावणीशी संबंधित आहेत. दुर्दैवाने, आमच्याकडे प्लगइन्सची दृश्यमानता नाही आणि म्हणूनच आम्हाला त्यांचा खरा हेतू माहित नाही. ब्रॉड हॅचबॅकच्या दृष्टीकोनातून, वैशिष्ट्ये खालील चार श्रेणींमध्ये विभागली जाऊ शकतात.

डिव्हाइस माहितीचा अहवाल द्या
संवेदनशील माहिती चोरली
फाईल / प्लगइन व्यवस्थापन (तपासा, डाउनलोड करा, हटवा)
विशिष्ट प्लगइन चालवित आहे

बॅकडोरवरील त्याच्या क्रियाकलापांचे परिणाम लपविण्यासाठी, विविध एन्क्रिप्शन अल्गोरिदम वापरले गेले, उदाहरणार्थ, एईएस त्याचा स्रोत एन्क्रिप्ट करण्यासाठी आणि नियंत्रण सर्व्हरसह संप्रेषण चॅनेल लपविण्यासाठी, मध्ये एईएस, एक्सओआर आणि रोटेटच्या वापरासह वापरले गेले. ZLIB चा वापर करून कॉम्प्रेशनसह संयोजन. नियंत्रण आदेश प्राप्त करण्यासाठी, मालवेयरने नेटवर्क पोर्ट 4 द्वारे 443 डोमेनवर प्रवेश केला (संप्रेषण वाहिनीने HTTPS आणि TLS नव्हे तर स्वतःचा प्रोटोकॉल वापरला).

डोमेन (सीडीएन.मिरर- कोडसनेट, स्टेटस.सब्लिनओव्हर डॉट कॉम, ब्लॉग.एडइलेक्टर्स डॉट कॉम, आणि न्यूज.थैप्रिटर.नेट) २०१ 2015 मध्ये नोंदणीकृत आणि कीव होस्टिंग प्रदाता डेल्टाहॉस्टने होस्ट केले. 12 मूलभूत कार्ये मागच्या दारामध्ये समाकलित केली गेली, ज्यामुळे आपण प्रगत कार्यक्षमतेसह loadड-ऑन्स लोड आणि चालवू शकता, डिव्हाइस डेटा हस्तांतरित करू शकता, संवेदनशील डेटा रोखू शकता आणि स्थानिक फायली व्यवस्थापित करू शकता.

उलट अभियांत्रिकी दृष्टीकोनातून, रोटाजाकिरो आणि तोरी सारख्याच शैली सामायिक करतात: संवेदनशील संसाधने लपविण्यासाठी एन्क्रिप्शन अल्गोरिदमचा वापर, जुन्या काळाची चिकाटी स्टाईलची रचना, संरचित नेटवर्क रहदारी इ.

शेवटी आपल्याला संशोधनाबद्दल अधिक जाणून घेण्यास स्वारस्य असल्यास 360 नेटलाबद्वारे बनविलेले, आपण तपशील तपासू शकता पुढील लिंकवर जाऊन.


आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटासाठी जबाबदार: AB इंटरनेट नेटवर्क 2008 SL
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.

  1.   निर्जंतुकीकरण म्हणाले
    बनवते 3 वर्षे

    ते कसे दूर केले जाते किंवा आपण संसर्गित आहोत किंवा नाही हे कसे करावे हे समजू नका जे आरोग्यासाठी वाईट आहे.

    चुकीच्या माहितीला प्रतिसाद द्या
  2.   मर्लिन द जादूगार म्हणाले
    बनवते 3 वर्षे

    त्याच्यासह असलेल्या दुव्यावरील स्वारस्यपूर्ण लेख आणि मनोरंजक विश्लेषण, परंतु मला संसर्ग वेक्टरबद्दल एक शब्द चुकला. हे एक ट्रोजन, किडा किंवा फक्त एक विषाणू आहे?… आपला संसर्ग टाळण्यासाठी आपण काय काळजी घ्यावी?

    मर्लिन द जादूगार यांना प्रत्युत्तर द्या
  3.   ल्यूक्स म्हणाले
    बनवते 3 वर्षे

    आणि काय फरक आहे?
    स्वतः सिस्टमड आधीपासूनच मालवेयर आहे ..

    ल्यूक्सला प्रत्युत्तर द्या