360 Netlab Research Lab kunngjort identifisering av en ny malware for Linux, kodenavnet RotaJakiro og det inkluderer en bakdørsimplementering som gjør det mulig å kontrollere systemet. Angriperne kunne ha installert skadelig programvare etter å ha utnyttet uopprettede sårbarheter i systemet eller gjettet på svake passord.
Bakdøren ble oppdaget under den mistenkelige trafikkanalysen av en av systemprosessene som ble identifisert under analysen av botnetstrukturen som ble brukt til DDoS-angrepet. Før dette gikk RotaJakiro ubemerket i tre år, spesielt de første forsøkene på å verifisere filer med MD5-hashes på VirusTotal-tjenesten som samsvarer med oppdaget malware, dateres tilbake til mai 2018.
Vi kalte den RotaJakiro basert på det faktum at familien bruker roterende kryptering og oppfører seg annerledes enn root / ikke-root-kontoer når de kjører.
RotaJakiro legger stor vekt på å skjule sporene sine ved hjelp av flere krypteringsalgoritmer, inkludert: bruk av AES-algoritmen for å kryptere ressursinformasjonen i prøven; C2-kommunikasjon ved hjelp av en kombinasjon av AES-, XOR-, ROTATE-kryptering og ZLIB-komprimering.
En av egenskapene til RotaJakiro er bruken av forskjellige maskeringsteknikker når den kjøres som en privilegert bruker og root. For å skjule din tilstedeværelse, skadelig programvare brukte prosessnavn systemd-daemon, session-dbus og gvfsd-helper, som, med tanke på rotet av moderne Linux-distribusjoner med alle slags tjenesteprosesser, virket legitime ved første øyekast og ikke vekket mistanke.
RotaJakiro bruker teknikker som dynamisk AES, dobbeltlags krypterte kommunikasjonsprotokoller for å motvirke analyse av binær og nettverkstrafikk.
RotaJakiro avgjør først om brukeren er rot eller ikke-rot ved kjøretid, med forskjellige kjøringspolicyer for forskjellige kontoer, og dekrypterer deretter relevante sensitive ressurser.
Når de kjøres som root, ble skriptene systemd-agent.conf og sys-temd-agent.service opprettet for å aktivere skadelig programvare og den skadelige kjørbare filen var innenfor følgende baner: / bin / systemd / systemd -daemon og / usr / lib / systemd / systemd-daemon (funksjonalitet duplisert i to filer).
Mens når den ble kjørt som en vanlig bruker, ble autorun-filen brukt $ HOME / .config / au-tostart / gnomehelper.desktop og endringer ble gjort i .bashrc, og den kjørbare filen ble lagret som $ HOME / .gvfsd / .profile / gvfsd-helper og $ HOME / .dbus / sessions / session -dbus. Begge kjørbare filene ble lansert samtidig, som hver overvåket tilstedeværelsen til den andre og gjenopprettet den i tilfelle avstenging.
RotaJakiro støtter totalt 12 funksjoner, hvorav tre er relatert til utførelse av spesifikke plugins. Dessverre har vi ikke synlighet for programtilleggene, og derfor vet vi ikke deres virkelige formål. Fra et bredt kombiperspektiv kan funksjoner grupperes i følgende fire kategorier.
Rapporter enhetsinformasjon
Stjel sensitiv informasjon
Fil / plugin management (sjekk, last ned, slett)
Kjører et bestemt plugin
For å skjule resultatene av sine aktiviteter på bakdøren ble forskjellige krypteringsalgoritmer brukt, for eksempel ble AES brukt til å kryptere ressursene og til å skjule kommunikasjonskanalen med kontrollserveren, i tillegg til bruk av AES, XOR og ROTATE i kombinasjon med kompresjon ved bruk av ZLIB. For å motta kontrollkommandoer fikk malware tilgang til 4 domener gjennom nettverksport 443 (kommunikasjonskanalen brukte sin egen protokoll, ikke HTTPS og TLS).
Domenene (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com og news.thaprior.net) ble registrert i 2015 og hostet av Kiev-vertsleverandøren Deltahost. 12 grunnleggende funksjoner ble integrert i bakdøren, slik at du kan laste og kjøre tillegg med avansert funksjonalitet, overføre enhetsdata, fange opp sensitive data og administrere lokale filer.
Fra et reverse engineering perspektiv deler RotaJakiro og Torii lignende stiler: bruk av krypteringsalgoritmer for å skjule sensitive ressurser, implementering av en ganske gammeldags utholdenhetsstil, strukturert nettverkstrafikk, etc.
Endelig hvis du er interessert i å lære mer om forskningen laget av 360 Netlab, kan du sjekke detaljene ved å gå til følgende lenke.
Ikke forklar hvordan det elimineres eller hvordan du vet om vi er smittet eller ikke, noe som er helseskadelig.
Interessant artikkel og interessant analyse i lenken som følger med den, men jeg savner et ord om infeksjonsvektoren. Er det en trojan, en orm eller bare et virus? ... Hva bør vi være forsiktige med å unngå infeksjonen?
Og hva er forskjellen?
I seg selv er systemd allerede en skadelig programvare ..