Research Lab 360 Netlab aangekondigd de identificatie van een nieuwe malware voor Linux, met de codenaam RotaJakiro en dat is inclusief een backdoor-implementatie waarmee het systeem kan worden bestuurd. De aanvallers hebben mogelijk schadelijke software geïnstalleerd nadat ze misbruik hadden gemaakt van niet-gerepareerde kwetsbaarheden in het systeem of zwakke wachtwoorden hadden geraden.
De achterdeur werd ontdekt tijdens de verdachte verkeersanalyse van een van de systeemprocessen die zijn geïdentificeerd tijdens de analyse van de botnetstructuur die wordt gebruikt voor de DDoS-aanval. Daarvoor bleef RotaJakiro drie jaar lang onopgemerkt, met name de eerste pogingen om bestanden te verifiëren met MD5-hashes op de VirusTotal-service die overeenkomen met gedetecteerde malware dateren van mei 2018.
We noemden het RotaJakiro gebaseerd op het feit dat de familie roterende codering gebruikt en zich tijdens het draaien anders gedraagt dan root / niet-rootaccounts.
RotaJakiro besteedt veel aandacht aan het verbergen van zijn sporen, met behulp van meerdere versleutelingsalgoritmen, waaronder: het gebruik van het AES-algoritme om de broninformatie in het monster te versleutelen; C2-communicatie met een combinatie van AES-, XOR-, ROTATE-codering en ZLIB-compressie.
Een van de kenmerken van RotaJakiro is het gebruik van verschillende maskeringstechnieken wanneer uitgevoerd als onbevoegde gebruiker en root. Om je aanwezigheid te verbergen, de malware gebruikte de procesnamen systemd-daemon, session-dbus en gvfsd-helper, die, gezien de rommel van moderne Linux-distributies met allerlei serviceprocessen, op het eerste gezicht legitiem leken en geen argwaan wekte.
RotaJakiro gebruikt technieken zoals dynamische AES, dubbellaagse gecodeerde communicatieprotocollen om binaire en netwerkverkeersanalyses tegen te gaan.
RotaJakiro bepaalt eerst of de gebruiker root of niet-root is tijdens runtime, met verschillende uitvoeringsbeleidsregels voor verschillende accounts, en ontsleutelt vervolgens de relevante gevoelige bronnen.
Als ze als root worden uitgevoerd, zijn de scripts systemd-agent.conf en sys-temd-agent.service gemaakt om de malware te activeren en het kwaadaardige uitvoerbare bestand bevond zich in de volgende paden: / bin / systemd / systemd -daemon en / usr / lib / systemd / systemd-daemon (functionaliteit gedupliceerd in twee bestanden).
Terwijl wanneer het als een normale gebruiker werd uitgevoerd, werd het autorun-bestand gebruikt $ HOME / .config / au-tostart / gnomehelper.desktop en wijzigingen werden aangebracht in .bashrc, en het uitvoerbare bestand werd opgeslagen als $ HOME / .gvfsd / .profile / gvfsd-helper en $ HOME / .dbus / sessies / sessie -dbus. Beide uitvoerbare bestanden werden tegelijkertijd gestart, die elk de aanwezigheid van de ander bewaakten en deze herstelden in geval van uitschakeling.
RotaJakiro ondersteunt in totaal 12 functies, waarvan er drie betrekking hebben op het uitvoeren van specifieke plug-ins. Helaas hebben we geen zicht op de plug-ins en daarom weten we niet wat hun ware doel is. Vanuit een breed hatchback-perspectief kunnen de functies in de volgende vier categorieën worden onderverdeeld.
Rapporteer apparaatinformatie
Steel gevoelige informatie
Beheer van bestanden / plug-ins (controleren, downloaden, verwijderen)
Een specifieke plug-in uitvoeren
Om de resultaten van zijn activiteiten op de achterdeur te verbergen, werden verschillende versleutelingsalgoritmen gebruikt, zo werd AES gebruikt om zijn bronnen te versleutelen en om het communicatiekanaal met de controleserver te verbergen, naast het gebruik van AES, XOR en ROTATE in combinatie met compressie met ZLIB. Om besturingsopdrachten te ontvangen, benaderde de malware 4 domeinen via netwerkpoort 443 (het communicatiekanaal gebruikte zijn eigen protocol, niet HTTPS en TLS).
De domeinen (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com en news.thaprior.net) werden in 2015 geregistreerd en gehost door de hostingprovider Deltahost in Kiev. 12 basisfuncties zijn geïntegreerd in de achterdeur, zodat u plug-ins met geavanceerde functionaliteit kunt laden en uitvoeren, apparaatgegevens kunt overdragen, vertrouwelijke gegevens kunt onderscheppen en lokale bestanden kunt beheren.
Vanuit reverse engineering-perspectief delen RotaJakiro en Torii vergelijkbare stijlen: het gebruik van versleutelingsalgoritmen om gevoelige bronnen te verbergen, de implementatie van een nogal ouderwetse persistentiestijl, gestructureerd netwerkverkeer, enz.
Eindelijk als u meer wilt weten over het onderzoek gemaakt door 360 Netlab, kunt u de details bekijken door naar de volgende link te gaan.
Leg niet uit hoe het wordt geëlimineerd of hoe u kunt weten of we besmet zijn of niet, wat slecht is voor de gezondheid.
Interessant artikel en interessante analyse in de bijbehorende link, maar ik mis een woord over de infectievector. Is het een Trojaans paard, een worm of gewoon een virus?… Waar moeten we op letten om onze infectie te voorkomen?
En wat is het verschil?
Op zichzelf is systemd al een malware ..