Njoftoi Laboratorin Kërkimor 360 Netlab identifikimin e një malware të ri për Linux, të koduar RotaJakiro dhe kjo përfshin një zbatim backdoor që lejon kontrollimin e sistemit. Sulmuesit mund të kishin instaluar një softuer të dëmshëm pasi kishin shfrytëzuar dobësitë e pariparuara në sistem ose duke supozuar fjalëkalime të dobëta.
Backdoor u zbulua gjatë analizës së trafikut të dyshimtë i njërit prej proceseve të sistemit të identifikuar gjatë analizës së strukturës botnet të përdorur për sulmin DDoS. Para kësaj, RotaJakiro kaloi pa u vërejtur për tre vjet, në veçanti, përpjekjet e para për të verifikuar skedarët me hashe MD5 në shërbimin VirusTotal që përputhen me malware të zbuluar datojnë në maj 2018.
Ne e vendosëm atë RotaJakiro bazuar në faktin se familja përdor kriptim rrotullues dhe sillet ndryshe nga llogaritë root / jo-root kur ekzekutohet.
RotaJakiro i kushton vëmendje të madhe fshehjes së gjurmëve të tij, duke përdorur algoritme të shumëfishta kriptimi, duke përfshirë: përdorimin e algoritmit AES për të kriptuar informacionin e burimeve brenda kampionit; Komunikimi C2 duke përdorur një kombinim të kriptimit AES, XOR, ROTATE dhe kompresimit ZLIB.
Një nga karakteristikat e RotaJakiro është përdorimi i teknikave të ndryshme të maskimit kur ekzekutohet si përdorues dhe rrënjë e paprivilegjuar. Për të fshehur praninë tuaj, malware-i përdori emrat e proceseve systemd-daemon, session-dbus dhe gvfsd-helper, i cili, duke pasur parasysh rrëmujat e shpërndarjeve moderne Linux me të gjitha llojet e proceseve të shërbimit, dukej i ligjshëm në shikim të parë dhe nuk ngjallte dyshime.
RotaJakiro përdor teknika të tilla si AES dinamike, protokolle komunikimi të kriptuara me dy shtresa për të kundërshtuar analizën e trafikut binar dhe të rrjetit.
RotaJakiro së pari përcakton nëse përdoruesi është root ose jo-root në kohën e ekzekutimit, me politika të ndryshme ekzekutimi për llogari të ndryshme, pastaj dekripton burimet e ndjeshme përkatëse.
Kur ekzekutohen si root, skriptet systemd-agent.conf dhe sys-temd-agent.service u krijuan për të aktivizuar malware. dhe ekzekutuesja me qëllim të keq ndodhej brenda rrugëve të mëposhtme: / bin / systemd / systemd -daemon dhe / usr / lib / systemd / systemd-daemon (funksionaliteti i kopjuar në dy skedarë).
Mientras que kur ekzekutohet si përdorues normal është përdorur skedari autorun $ HOME / .config / au-tostart / gnomehelper.desktop dhe ndryshimet u bënë në .bashrc, dhe skedari i ekzekutueshëm u ruajt si $ HOME / .gvfsd / .profile / gvfsd-ndihmës dhe $ HOME / .dbus / seancat / seanca -dbus. Të dy skedarët e ekzekutueshëm u nisën në të njëjtën kohë, secila prej të cilave monitoroi praninë e tjetrit dhe e riktheu atë në rast të mbylljes.
RotaJakiro mbështet gjithsej 12 funksione, tre prej të cilave kanë të bëjnë me ekzekutimin e shtojcave specifike. Për fat të keq, ne nuk kemi dukshmëri të shtojcave dhe për këtë arsye nuk e dimë qëllimin e tyre të vërtetë. Nga një perspektivë e gjerë hatchback, tiparet mund të grupohen në katër kategoritë e mëposhtme.
Raportoni informacionin e pajisjes
Vjedhin informacione të ndjeshme
Menaxhimi i skedarit / shtojcës (kontrolloni, shkarkoni, fshini)
Ekzekutimi i një shtojce specifike
Për të fshehur rezultatet e aktiviteteve të tij në prapavijë, u përdorën algoritme të ndryshëm të kriptimit, për shembull, AES u përdor për të kriptuar burimet e saj dhe për të fshehur kanalin e komunikimit me serverin e kontrollit, përveç përdorimit të AES, XOR dhe ROTATE në kombinim me kompresim duke përdorur ZLIB. Për të marrë komandat e kontrollit, malware arriti në 4 domene përmes portit të rrjetit 443 (kanali i komunikimit përdori protokollin e tij, jo HTTPS dhe TLS).
Domenet (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com dhe news.thaprior.net) u regjistruan në 2015 dhe u organizuan nga ofruesi i pritjes në Kiev Deltahost. 12 funksione themelore u integruan në derën e pasme, duke ju lejuar të ngarkoni dhe ekzekutoni shtesa me funksionalitet të përparuar, të transferoni të dhëna të pajisjes, të kapni të dhëna konfidenciale dhe të menaxhoni skedarët lokalë.
Nga një perspektivë e kundërt inxhinierike, RotaJakiro dhe Torii ndajnë stile të ngjashme: përdorimi i algoritmeve të enkriptimit për të fshehur burimet e ndjeshme, zbatimi i një stili këmbëngulje mjaft të modës së vjetër, trafiku i strukturuar i rrjetit, etj.
Më në fund nëse jeni të interesuar të mësoni më shumë rreth hulumtimit bërë nga 360 Netlab, mund të kontrolloni detajet duke shkuar në lidhjen e mëposhtme.
Mos shpjegoni se si eliminohet ose si të dimë nëse jemi të infektuar apo jo, gjë që është e dëmshme për shëndetin.
Artikull interesant dhe analizë interesante në lidhjen që e shoqëron, por më mungon një fjalë për vektorin e infeksionit. A është një Trojan, një krimb apo thjesht një virus?… Për çfarë duhet të jemi të kujdesshëm për të shmangur infeksionin tonë?
Dhe cili është ndryshimi?
Në vetvete systemd tashmë është një malware.