Research Lab 360 Netlab anunciado a identificação de um novo malware para Linux, codinome RotaJakiro e que inclui uma implementação de backdoor que permite controlar o sistema. Os invasores podem ter instalado software malicioso após explorar vulnerabilidades não reparadas no sistema ou adivinhar senhas fracas.
A porta dos fundos foi descoberta durante a análise de tráfego suspeito de um dos processos do sistema identificados durante a análise da estrutura do botnet usada para o ataque DDoS. Antes disso, RotaJakiro passou despercebido por três anos, em particular, as primeiras tentativas de verificar arquivos com hashes MD5 no serviço VirusTotal que correspondem ao malware detectado datam de maio de 2018.
Nós o batizamos de RotaJakiro com base no fato de que a família usa criptografia rotativa e se comporta de maneira diferente das contas root / não root durante a execução.
RotaJakiro presta muita atenção em ocultar seus rastros, usando vários algoritmos de criptografia, incluindo: usando o algoritmo AES para criptografar as informações de recursos dentro da amostra; Comunicação C2 usando uma combinação de criptografia AES, XOR, ROTATE e compactação ZLIB.
Uma das características do RotaJakiro é a utilização de diferentes técnicas de mascaramento quando executado como usuário e root sem privilégios. Para esconder sua presença, o malware usou os nomes de processo systemd-daemon, session-dbus e gvfsd-helper, que, dada a desordem das distribuições Linux modernas com todos os tipos de processos de serviço, pareciam legítimos à primeira vista e não levantaram suspeitas.
A RotaJakiro usa técnicas como AES dinâmico, protocolos de comunicação criptografados de camada dupla para conter a análise binária e de tráfego de rede.
RotaJakiro primeiro determina se o usuário é root ou não root em tempo de execução, com políticas de execução diferentes para contas diferentes, então descriptografa os recursos sensíveis relevantes.
Quando executado como root, os scripts systemd-agent.conf e sys-temd-agent.service foram criados para ativar o malware e o executável malicioso estava localizado nos seguintes caminhos: / bin / systemd / systemd -daemon e / usr / lib / systemd / systemd-daemon (funcionalidade duplicada em dois arquivos).
Enquanto quando executado como um usuário normal, o arquivo de execução automática foi usado $ HOME / .config / au-tostart / gnomehelper.desktop e alterações foram feitas em .bashrc, e o arquivo executável foi salvo como $ HOME / .gvfsd / .profile / gvfsd-helper e $ HOME / .dbus / sessions / session -dbus. Os dois arquivos executáveis foram iniciados ao mesmo tempo, cada um monitorando a presença do outro e restaurando-o em caso de desligamento.
RotaJakiro suporta um total de 12 funções, três das quais relacionadas à execução de plugins específicos. Infelizmente, não temos visibilidade dos plugins e, portanto, não sabemos seu verdadeiro propósito. De uma perspectiva ampla de hatchback, os recursos podem ser agrupados nas quatro categorias a seguir.
Reportar informações do dispositivo
Roubar informações confidenciais
Gerenciamento de arquivo / plugin (verificar, baixar, excluir)
Executando um plugin específico
Para ocultar os resultados de suas atividades no backdoor, vários algoritmos de criptografia foram utilizados, por exemplo, AES foi utilizado para criptografar seus recursos e ocultar o canal de comunicação com o servidor de controle, além do uso de AES, XOR e ROTATE em combinação com compressão usando ZLIB. Para receber comandos de controle, o malware acessou 4 domínios por meio da porta de rede 443 (o canal de comunicação usou seu próprio protocolo, não HTTPS e TLS).
Os domínios (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com e news.thaprior.net) foram registrados em 2015 e hospedados pelo provedor de hospedagem Deltahost de Kiev. 12 funções básicas foram integradas na porta dos fundos, permitindo que você carregue e execute add-ons com funcionalidade avançada, transfira dados do dispositivo, intercepte dados confidenciais e gerencie arquivos locais.
De uma perspectiva de engenharia reversa, RotaJakiro e Torii compartilham estilos semelhantes: o uso de algoritmos de criptografia para ocultar recursos confidenciais, a implementação de um estilo de persistência bastante antiquado, tráfego de rede estruturado, etc.
Finalmente se você estiver interessado em aprender mais sobre a pesquisa feito pela 360 Netlab, você pode verificar os detalhes indo para o seguinte link.
Não explique como é eliminado ou como saber se estamos infectados ou não, o que faz mal à saúde.
Artigo interessante e análise interessante no link que o acompanha, mas estou perdendo uma palavra sobre o vetor de infecção. É um Trojan, um worm ou apenas um vírus?… Com o que devemos ter cuidado para evitar a nossa infecção?
e qual é a diferença?
Em si, o systemd já é um malware.