Napovedan raziskovalni laboratorij 360 Netlab identifikacija nove zlonamerne programske opreme za Linux s kodnim imenom RotaJakiro in to vključuje izvedbo v ozadju ki omogoča nadzor sistema. Napadalci bi lahko namestili zlonamerno programsko opremo po izkoriščanju nepopravljenih ranljivosti v sistemu ali ugibanju šibkih gesel.
Zakulisje je bilo odkrito med sumljivo analizo prometa enega od sistemskih procesov, ugotovljenih med analizo strukture botneta, ki se uporablja za napad DDoS. Pred tem je bil RotaJakiro tri leta neopažen, zlasti prvi poskusi preverjanja datotek s haši MD5 v storitvi VirusTotal, ki se ujemajo z zaznano zlonamerno programsko opremo, segajo v maj 2018.
Poimenovali smo ga RotaJakiro na podlagi dejstva, da družina uporablja rotacijsko šifriranje in se med izvajanjem obnaša drugače kot korenski / nekorenski računi.
RotaJakiro posveča veliko pozornosti skrivanju njegovih sledi z uporabo več algoritmov šifriranja, vključno z: uporabo algoritma AES za šifriranje informacij o viru v vzorcu; Komunikacija C2 z uporabo kombinacije šifriranja AES, XOR, ROTATE in stiskanja ZLIB.
Ena od značilnosti RotaJakiro je uporaba različnih tehnik maskiranja ko teče kot neprivilegiran uporabnik in root. Da skriješ svojo prisotnost, zlonamerna programska oprema je uporabljala imena procesov systemd-daemon, session-dbus in gvfsd-helper, ki sta se glede na nered sodobnih distribucij Linuxa z najrazličnejšimi servisnimi procesi na prvi pogled zdela legitimna in nista vzbujala suma.
RotaJakiro uporablja tehnike, kot so dinamični AES, dvoslojni šifrirani komunikacijski protokoli za preprečevanje binarne in mrežne analize prometa.
RotaJakiro najprej ugotovi, ali je uporabnik med izvajanjem korenski ali nekorenski, z različnimi politikami izvajanja za različne račune, nato pa dešifrira ustrezne občutljive vire.
Ko se zaženeta kot root, sta bili za aktiviranje zlonamerne programske opreme ustvarjeni skripti systemd-agent.conf in sys-temd-agent.service in zlonamerna izvedljiva datoteka se je nahajala na naslednjih poteh: / bin / systemd / systemd -daemon in / usr / lib / systemd / systemd-daemon (funkcija podvojena v dveh datotekah).
Medtem ko je pri zagonu kot običajni uporabnik je bila uporabljena datoteka samodejnega zagona $ HOME / .config / au-tostart / gnomehelper.desktop in spremembe so bile narejene v .bashrc, izvršljiva datoteka pa je bila shranjena kot $ HOME / .gvfsd / .profile / gvfsd-helper in $ HOME / .dbus / session / session -dbus. Obe izvršljivi datoteki sta bili hkrati zagnani, vsaka pa je spremljala prisotnost druge in jo obnavljala v primeru zaustavitve.
RotaJakiro podpira skupno 12 funkcij, od katerih so tri povezane z izvajanjem določenih vtičnikov. Na žalost nimamo vidnosti vtičnikov in zato ne vemo njihovega pravega namena. S širokega vidika kombilimuzine lahko funkcije združimo v naslednje štiri kategorije.
Sporočite podatke o napravi
Ukradite občutljive podatke
Upravljanje datotek / vtičnikov (preverjanje, prenos, brisanje)
Izvajanje določenega vtičnika
Za skrivanje rezultatov svojih dejavnosti na zakulisju so bili uporabljeni različni algoritmi šifriranja, na primer AES je bil uporabljen za šifriranje svojih virov in za skrivanje komunikacijskega kanala z nadzornim strežnikom, poleg uporabe AES, XOR in ROTATE v kombinacija s stiskanjem z uporabo ZLIB. Za prejem nadzornih ukazov je zlonamerna programska oprema dostopala do 4 domen prek omrežnih vrat 443 (komunikacijski kanal je uporabljal svoj protokol, ne HTTPS in TLS).
Domene (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com in news.thaprior.net) so bile registrirane leta 2015 in jih je gostil kijevski ponudnik gostovanja Deltahost. V zadnja vrata je bilo vgrajenih 12 osnovnih funkcij, ki omogočajo nalaganje in zagon dodatkov z napredno funkcionalnostjo, prenos podatkov o napravi, prestrezanje zaupnih podatkov in upravljanje lokalnih datotek.
Z obratne inženirske perspektive imata RotaJakiro in Torii podobne sloge: uporaba algoritmov za šifriranje za skrivanje občutljivih virov, izvajanje precej staromodnega sloja obstojnosti, strukturiran omrežni promet itd.
Končno če vas zanima več o raziskavi izdelal 360 Netlab, lahko preverite podrobnosti tako, da odprete naslednjo povezavo.
Ne razlagajte, kako se izloča ali kako vedeti, ali smo okuženi ali ne, kar je slabo za zdravje.
Zanimiv članek in zanimiva analiza na povezavi, ki ga spremlja, pogrešam pa besedo o okužilnem vektorju. Je to trojanski virus, črv ali le virus? ... Na kaj moramo biti previdni, da se izognemo okužbi?
In v čem je razlika?
Sam po sebi je systemd že zlonamerna programska oprema ..