Бэкдор был обнаружен при анализе подозрительного трафика. одного из системных процессов, выявленных при анализе структуры ботнета, использованного для DDoS-атаки. До этого RotaJakiro в течение трех лет оставался незамеченным, в частности, первые попытки проверить файлы с хешами MD5 в сервисе VirusTotal, соответствующие обнаруженным вредоносным программам, относятся к маю 2018 года.
Мы назвали его RotaJakiro из-за того, что семейство использует ротационное шифрование и при запуске ведет себя иначе, чем учетные записи root / non-root.
RotaJakiro уделяет пристальное внимание сокрытию своих следов, используя несколько алгоритмов шифрования, включая: использование алгоритма AES для шифрования информации о ресурсах в образце; Связь C2 с использованием комбинации AES, XOR, шифрования ROTATE и сжатия ZLIB.
Одна из характеристик RotaJakiro - использование различных техник маскировки. при запуске от имени непривилегированного пользователя и root. Чтобы скрыть свое присутствие, вредоносная программа использовала имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, учитывая загроможденность современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались законными и не вызывали подозрений.
RotaJakiro использует такие методы, как динамический AES, протоколы связи с двухуровневым шифрованием для противодействия двоичному анализу и анализу сетевого трафика.
RotaJakiro сначала определяет, является ли пользователь корневым или некорневым, во время выполнения с разными политиками выполнения для разных учетных записей, а затем расшифровывает соответствующие конфиденциальные ресурсы.
При запуске от имени пользователя root были созданы сценарии systemd-agent.conf и sys-temd-agent.service для активации вредоносной программы. а вредоносный исполняемый файл находился по следующим путям: / bin / systemd / systemd -daemon и / usr / lib / systemd / systemd-daemon (функциональность дублирована в двух файлах).
В то время как при запуске от имени обычного пользователя использовался файл автозапуска $ HOME / .config / au-tostart / gnomehelper.desktop и изменения были внесены в .bashrc, а исполняемый файл был сохранен как $ HOME / .gvfsd / .profile / gvfsd-helper и $ HOME / .dbus / sessions / session -dbus. Оба исполняемых файла запускались одновременно, каждый из которых отслеживал наличие другого и восстанавливал его в случае завершения работы.
RotaJakiro поддерживает в общей сложности 12 функций, три из которых связаны с выполнением определенных плагинов. К сожалению, у нас нет видимости плагинов, и поэтому мы не знаем их истинного назначения. С широкой точки зрения хэтчбека, характеристики можно сгруппировать в следующие четыре категории.
Сообщить информацию об устройстве
Украсть конфиденциальную информацию
Управление файлами / плагинами (проверка, загрузка, удаление)
Запуск определенного плагина
Чтобы скрыть результаты своей деятельности на бэкдоре, использовались различные алгоритмы шифрования, например, AES использовался для шифрования его ресурсов и скрытия канала связи с управляющим сервером, помимо использования AES, XOR и ROTATE в сочетание со сжатием с использованием ZLIB. Для получения команд управления зловред обращался к 4 доменам через сетевой порт 443 (канал связи использовал собственный протокол, а не HTTPS и TLS).
Домены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) были зарегистрированы в 2015 году и размещены киевским хостинг-провайдером Deltahost. В черный ход было интегрировано 12 основных функций, позволяющих загружать и запускать надстройки с расширенными функциями, передавать данные устройства, перехватывать конфиденциальные данные и управлять локальными файлами.
С точки зрения обратной инженерии, RotaJakiro и Torii имеют схожие стили: использование алгоритмов шифрования для сокрытия конфиденциальных ресурсов, реализация довольно старомодного стиля сохранения, структурированный сетевой трафик и т. Д.
В конце концов если вы хотите узнать больше об исследовании сделано 360 Netlab, вы можете проверить детали перейдя по следующей ссылке.
3 комментариев, оставьте свой
Не объясняйте, как он устраняется или как узнать, инфицированы мы или нет, это плохо для здоровья.
Интересная статья и интересный анализ в прилагаемой к ней ссылке, но я пропустил ни слова о векторе заражения. Это троянец, червь или просто вирус?… Что нам следует остерегаться, чтобы не заразиться?
А в чем разница?
Сам по себе systemd уже является вредоносным ПО ..