Research Lab 360 Netlab anunțat identificarea unui nou malware pentru Linux, cu nume de cod RotaJakiro și care include o implementare backdoor care permite controlul sistemului. Atacatorii ar fi putut instala software rău intenționat după ce au exploatat vulnerabilitățile neremediate din sistem sau au ghicit parole slabe.
Ușa din spate a fost descoperită în timpul analizei traficului suspect a unuia dintre procesele de sistem identificate în timpul analizei structurii botnet utilizate pentru atacul DDoS. Înainte de aceasta, RotaJakiro a trecut neobservat timp de trei ani, în special primele încercări de a verifica fișierele cu hash MD5 pe serviciul VirusTotal care se potrivesc cu malware detectat datează din mai 2018.
Am denumit-o RotaJakiro pe baza faptului că familia folosește criptarea rotativă și se comportă diferit de conturile rădăcină / non-rădăcină atunci când rulează.
RotaJakiro acordă multă atenție pentru a-și ascunde urmele, utilizând mai mulți algoritmi de criptare, inclusiv: utilizarea algoritmului AES pentru a cripta informațiile despre resurse în eșantion; Comunicare C2 utilizând o combinație de criptare AES, XOR, ROTATE și compresie ZLIB.
Una dintre caracteristicile RotaJakiro este utilizarea diferitelor tehnici de mascare atunci când rulează ca utilizator și root fără privilegii. Pentru a-ți ascunde prezența, malware-ul a folosit numele proceselor systemd-daemon, session-dbus și gvfsd-helper, care, având în vedere dezordinea distribuțiilor Linux moderne cu tot felul de procese de servicii, păreau legitime la prima vedere și nu trezeau suspiciuni.
RotaJakiro folosește tehnici precum AES dinamice, protocoale de comunicații criptate cu dublu strat pentru a contracara analiza binară și a traficului de rețea.
RotaJakiro stabilește mai întâi dacă utilizatorul este root sau non-root în timpul rulării, cu politici de execuție diferite pentru conturi diferite, apoi decriptează resursele sensibile relevante.
Când sunt rulate ca root, scripturile systemd-agent.conf și sys-temd-agent.service au fost create pentru a activa malware-ul iar executabilul rău intenționat a fost localizat în următoarele căi: / bin / systemd / systemd -daemon și / usr / lib / systemd / systemd-daemon (funcționalitate duplicată în două fișiere).
În timp ce când a fost rulat ca un utilizator normal, a fost utilizat fișierul autorun $ HOME / .config / au-tostart / gnomehelper.desktop și modificările au fost făcute la .bashrc, iar fișierul executabil a fost salvat ca $ HOME / .gvfsd / .profile / gvfsd-helper și $ HOME / .dbus / sessions / session -dbus. Ambele fișiere executabile au fost lansate în același timp, fiecare dintre acestea monitorizând prezența celuilalt și l-a restabilit în caz de oprire.
RotaJakiro acceptă un total de 12 funcții, dintre care trei sunt legate de executarea unor pluginuri specifice. Din păcate, nu avem vizibilitate a pluginurilor și, prin urmare, nu știm adevăratul lor scop. Dintr-o perspectivă largă hatchback, caracteristicile pot fi grupate în următoarele patru categorii.
Raportați informații despre dispozitiv
Furați informații sensibile
Gestionarea fișierelor / pluginurilor (verificați, descărcați, ștergeți)
Rularea unui plugin specific
Pentru a ascunde rezultatele activităților sale pe backdoor, au fost folosiți diferiți algoritmi de criptare, de exemplu AES a fost folosit pentru a cripta resursele sale și pentru a ascunde canalul de comunicație cu serverul de control, pe lângă utilizarea AES, XOR și ROTATE în combinație cu compresie folosind ZLIB. Pentru a primi comenzi de control, malware-ul a accesat 4 domenii prin portul de rețea 443 (canalul de comunicație a folosit propriul protocol, nu HTTPS și TLS).
Domeniile (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com și news.thaprior.net) au fost înregistrate în 2015 și găzduite de furnizorul de găzduire Kiev Deltahost. 12 funcții de bază au fost integrate în ușa din spate, permițându-vă să încărcați și să rulați programe de completare cu funcționalitate avansată, să transferați datele dispozitivului, să interceptați datele sensibile și să gestionați fișierele locale.
Dintr-o perspectivă de inginerie inversă, RotaJakiro și Torii împărtășesc stiluri similare: utilizarea algoritmilor de criptare pentru a ascunde resursele sensibile, implementarea unui stil de persistență destul de vechi, trafic de rețea structurat etc.
În cele din urmă dacă sunteți interesat să aflați mai multe despre cercetare realizat de 360 Netlab, puteți verifica detaliile accesând următorul link.
Nu explicați cum este eliminat sau cum să știm dacă suntem infectați sau nu, ceea ce este rău pentru sănătate.
Articol interesant și analiză interesantă în link-ul care îl însoțește, dar îmi lipsește un cuvânt despre vectorul infecției. Este un troian, un vierme sau doar un virus? ... La ce ar trebui să fim atenți pentru a evita infecția noastră?
Și care este diferența?
În sine, systemd este deja un malware ...