RotaJakiro: новое вредоносное ПО для Linux, замаскированное под процесс systemd

Анонсирована Research Lab 360 Netlab выявление нового вредоносного ПО для Linux под кодовым названием RotaJakiro, включая реализацию бэкдора что позволяет управлять системой. Злоумышленники могли установить вредоносное ПО, воспользовавшись неисправленными уязвимостями в системе или угадав слабые пароли.

Бэкдор был обнаружен при анализе подозрительного трафика. одного из системных процессов, выявленных при анализе структуры ботнета, использованного для DDoS-атаки. До этого RotaJakiro в течение трех лет оставался незамеченным, в частности, первые попытки проверить файлы с хешами MD5 в сервисе VirusTotal, соответствующие обнаруженным вредоносным программам, относятся к маю 2018 года.

Мы назвали его RotaJakiro из-за того, что семейство использует ротационное шифрование и при запуске ведет себя иначе, чем учетные записи root / non-root.

RotaJakiro уделяет пристальное внимание сокрытию своих следов, используя несколько алгоритмов шифрования, включая: использование алгоритма AES для шифрования информации о ресурсах в образце; Связь C2 с использованием комбинации AES, XOR, шифрования ROTATE и сжатия ZLIB.

Одна из характеристик RotaJakiro - использование различных техник маскировки. при запуске от имени непривилегированного пользователя и root. Чтобы скрыть свое присутствие, вредоносная программа использовала имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, учитывая загроможденность современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались законными и не вызывали подозрений.

RotaJakiro использует такие методы, как динамический AES, протоколы связи с двухуровневым шифрованием для противодействия двоичному анализу и анализу сетевого трафика.
RotaJakiro сначала определяет, является ли пользователь корневым или некорневым, во время выполнения с разными политиками выполнения для разных учетных записей, а затем расшифровывает соответствующие конфиденциальные ресурсы.

При запуске от имени пользователя root были созданы сценарии systemd-agent.conf и sys-temd-agent.service для активации вредоносной программы. а вредоносный исполняемый файл находился по следующим путям: / bin / systemd / systemd -daemon и / usr / lib / systemd / systemd-daemon (функциональность дублирована в двух файлах).

В то время как при запуске от имени обычного пользователя использовался файл автозапуска $ HOME / .config / au-tostart / gnomehelper.desktop и изменения были внесены в .bashrc, а исполняемый файл был сохранен как $ HOME / .gvfsd / .profile / gvfsd-helper и $ HOME / .dbus / sessions / session -dbus. Оба исполняемых файла запускались одновременно, каждый из которых отслеживал наличие другого и восстанавливал его в случае завершения работы.

RotaJakiro поддерживает в общей сложности 12 функций, три из которых связаны с выполнением определенных плагинов. К сожалению, у нас нет видимости плагинов, и поэтому мы не знаем их истинного назначения. С широкой точки зрения хэтчбека, характеристики можно сгруппировать в следующие четыре категории.

Сообщить информацию об устройстве
Украсть конфиденциальную информацию
Управление файлами / плагинами (проверка, загрузка, удаление)
Запуск определенного плагина

Чтобы скрыть результаты своей деятельности на бэкдоре, использовались различные алгоритмы шифрования, например, AES использовался для шифрования его ресурсов и скрытия канала связи с управляющим сервером, помимо использования AES, XOR и ROTATE в сочетание со сжатием с использованием ZLIB. Для получения команд управления зловред обращался к 4 доменам через сетевой порт 443 (канал связи использовал собственный протокол, а не HTTPS и TLS).

Домены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) были зарегистрированы в 2015 году и размещены киевским хостинг-провайдером Deltahost. В черный ход было интегрировано 12 основных функций, позволяющих загружать и запускать надстройки с расширенными функциями, передавать данные устройства, перехватывать конфиденциальные данные и управлять локальными файлами.

С точки зрения обратной инженерии, RotaJakiro и Torii имеют схожие стили: использование алгоритмов шифрования для сокрытия конфиденциальных ресурсов, реализация довольно старомодного стиля сохранения, структурированный сетевой трафик и т. Д.

В конце концов если вы хотите узнать больше об исследовании сделано 360 Netlab, вы можете проверить детали перейдя по следующей ссылке.


3 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   дезинформация сказал

    Не объясняйте, как он устраняется или как узнать, инфицированы мы или нет, это плохо для здоровья.

  2.   Мерлин Волшебник сказал

    Интересная статья и интересный анализ в прилагаемой к ней ссылке, но я пропустил ни слова о векторе заражения. Это троянец, червь или просто вирус?… Что нам следует остерегаться, чтобы не заразиться?

  3.   Люкс сказал

    А в чем разница?
    Сам по себе systemd уже является вредоносным ПО ..