RotaJakiro: Linux-ka cusub ee khaldan ee loo ekeysiiyay habka nidaamka

Darkcrizt

Daqiiqado 4

Cilmi-baarista Shaybaarka 360 Netlab ayaa lagu dhawaaqay aqoonsiga khayaanada cusub ee loogu talagalay Linux, looguna magac daray RotaJakiro oo ay kujirto hirgelinta dibedda taasi waxay u ogolaaneysaa in la xakameeyo nidaamka. Weeraryahannadu waxay ku rakibeen barnaamijka softiweerka ah ka dib markay ka faa'iideysteen dayacanka dayactirka ee nidaamka ama ay qiyaaseen furayaasha sirta ah.

Bannaanka dambe waxaa la ogaaday intii lagu guda jiray falanqaynta taraafikada shakiga leh mid ka mid ah hababka nidaamka loo aqoonsaday inta lagu gudajiray falanqaynta qaab dhismeedka botnet ee loo adeegsaday weerarkii DDoS. Tan ka hor, RotaJakiro lama ogaanin muddo seddex sano ah, gaar ahaan, isku daygii ugu horreeyay ee lagu xaqiijinayo feylasha leh MD5 hashes on the VirusTotal service that match the malware detected date to May 2018.

Waxaan ugu magac darnay RotaJakiro iyadoo lagu saleynayo xaqiiqda ah in qoysku adeegsado sirta meertada ah iyo inay u dhaqmaan si ka duwan xisaabaadka xididka / xidid la'aanta ah markay ordaan.

RotaJakiro waxay fiiro gaar ah u leedahay qarinta raadkeeda, iyadoo la adeegsanayo algorithms badan oo sir ah, oo ay ka mid yihiin: adeegsiga algorithmka AES si loogu kaydiyo macluumaadka kheyraadka ku jira shaybaarka; Isgaarsiinta C2 iyadoo la adeegsanayo isku darka AES, XOR, encryption ROTATE, iyo ZLIB riixo.

Mid ka mid ah astaamaha RotaJakiro waa adeegsiga farsamooyin waji qarsoon oo kala duwan markii loo ordo sidii isticmaale aan la xaqirin iyo xidid. Si loo qariyo joogitaankaaga, furinku wuxuu isticmaalay magacyada nidaamka systemd-daemon, fadhiga-dbus iyo gvfsd-caawiye, taas oo, la siiyay ciriiriga ka jira qaybinta casriga casriga ah ee Linux oo leh nooc kasta oo habab adeeg ah, waxay umuuqatay mid sharci ah jaleecada hore mana kicin shaki.

RotaJakiro wuxuu adeegsadaa farsamooyin ay ka mid yihiin AES firfircoon, borotokoollo isgaarsiineed oo laba-lakab ah oo qarsoodi ah si looga hortago binary iyo shabakadda falanqaynta taraafikada.
RotaJakiro wuxuu marka hore go'aamiyaa in isticmaalaha uu xidid yahay ama uusan xidid ahayn waqtiga shaqada, siyaasadaha fulinta kala duwan ee xisaabaadka kaladuwan, ka dibna wuxuu qayaxayaa ilaha xasaasiga ah ee khuseeya.

Marka loo wado xidid ahaan, qoraallada adeegga-wakiilka.conf iyo qoraallada adeegga ee sys-temd-agent.sacarteeda ayaa loo sameeyay si loo kiciyo khayaanada iyo xumaanta lagu fulin karo waxay ku taallay dariiqooyinka soo socda: / bin / systemd / systemd -daemon iyo / usr / lib / systemd / systemd-daemon (shaqeynta lagu labalaabay laba fayl).

Iyadoo markii loo adeegsado sidii isticmaale caadi ah faylka autorun ayaa la isticmaalay $ HOME / .config / au-tostart / gnomehelper.desktop oo isbadal ayaa lagu sameeyay -dub. Labada feylood ee la fulin karo ayaa la bilaabay isla waqti isku mid ah, mid walbana wuxuu kormeerayay joogitaanka midka kale oo dib ayuu u soo celiyay haddii ay dhacdo in la xiro.

RotaJakiro waxay taageertaa wadar ahaan 12 shaqooyin, seddex kamid ah waxay laxiriiraan fulinta qalabyo gaar ah. Nasiib darrose, ma hayno muuqaal ka mid ah fiilooyinka sidaas darteedna garan mayno ujeeddadooda dhabta ah. Marka laga eego aragtida ballaadhan ee hatchback, astaamaha waxaa loo qaybin karaa afarta qaybood ee soo socda.

Ka warbixi macluumaadka aaladda
Xado macluumaad xasaasi ah
Maaraynta faylka / plugin (hubi, soo dejiso, tirtir)
Ku shaqeynta qalab gaar ah

Si loo qariyo natiijooyinka waxqabadkeeda xagga dambe, algorithms kala duwan oo sir ah ayaa la isticmaalay, tusaale ahaan, AES waxaa loo isticmaalay in lagu kaydiyo kheyraadkeeda iyo in lagu qariyo kanaalka isgaarsiinta ee leh serverka kontaroolada, marka lagu daro isticmaalka AES, XOR iyo ROTATE ee isku dhafan leh riixid iyadoo la isticmaalayo ZLIB. Si loo helo amarrada xakamaynta, khayaanada waxay marin 4 degsi ka dhex heshay dekedda shabakadda 443 (kanaalka isgaarsiinta wuxuu adeegsaday borotokool u gaar ah, ma ahan HTTPS iyo TLS).

Bogagga (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com iyo news.thaprior.net) waxaa laga diiwaan galiyay sanadkii 2015 waxaana martigaliyay shirkada martida loo yahay ee Kiev martigelinta Deltahost. 12 shaqooyin aasaasi ah ayaa lagu soo daray albaabka dambe, taas oo kuu oggolaaneysa inaad rarto oo aad maamusho waxyaabo lagu daro shaqooyin horumarsan, wareejinta xogta aaladda, dhexda u geliso xogta qarsoodiga ah, iyo maareynta feylasha maxalliga ah.

Marka laga eego dhinaca injineernimada, RotaJakiro iyo Torii waxay wadaagaan qaabab isku mid ah: adeegsiga algorithms-ka sirta si loo qariyo ilaha xasaasiga ah, hirgelinta qaab adkaysi hore oo duug ah, taraafikada shabakadda qaabeysan, iwm.

Finalmente haddii aad xiiseyneyso inaad waxbadan ka barato cilmi-baarista waxaa sameeyay 360 Netlab, waad hubin kartaa faahfaahinta adoo maraya isku xirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   xoqidda dijo
    samee 3 sano

    Ha sharraxin sida looga takhaluso ama sida loo ogaado haddii aan qaadno iyo in kale, taas oo caafimaadka u xun.

    Ka jawaab war qaldan
  2.   Merlin Sixiroolaha dijo
    samee 3 sano

    Maqaal xiiso leh iyo falanqeyn xiiso leh xiriirka ku lifaaqan, laakiin waxaan u xiisay eray ku saabsan dulinka caabuqa. Ma Trojan, dixirigoodu mise waa kaliya virus?… Maxaan ka taxaddaraa si looga fogaado infekshinkeena?

    Jawaab Merlin Sixiroolaha
  3.   luix dijo
    samee 3 sano

    Maxaase ku kala duwan?
    Iskiis ahaan systemd horeyba waa furin ..

    Ku jawaab luix