Најављена истраживачка лабораторија 360 Нетлаб идентификација новог малвера за Линук, кодног имена РотаЈакиро и то укључује бацкдоор имплементацију који омогућава контролу система. Нападачи су могли инсталирати злонамерни софтвер након што су искористили непоправљене рањивости у систему или погодили слабе лозинке.
Бацкдоор је откривен током сумњиве анализе саобраћаја једног од системских процеса идентификованих током анализе ботнет структуре која се користи за ДДоС напад. Пре тога, РотаЈакиро је три године био непримећен, а посебно су први покушаји верификације датотека са МД5 хешовима на услузи ВирусТотал који се подударају са откривеним малвером датирали у мају 2018.
Назвали смо га РотаЈакиро на основу чињенице да породица користи ротацијску енкрипцију и понаша се другачије од роот / нон-роот налога када се покреће.
РотаЈакиро посвећује велику пажњу сакривању његових трагова, користећи више алгоритама за шифровање, укључујући: коришћење АЕС алгоритма за шифровање информација о ресурсима у узорку; Ц2 комуникација користећи комбинацију АЕС, КСОР, РОТАТЕ енкрипције и ЗЛИБ компресије.
Једна од карактеристика РотаЈакиро-а је употреба различитих техника маскирања када се покреће као непривилеговани корисник и роот. Да сакријете своје присуство, злонамерни софтвер је користио називе процеса системд-даемон, сессион-дбус и гвфсд-хелпер, који су се, с обзиром на неред савремених Линук дистрибуција са свим врстама сервисних процеса, на први поглед чинили легитимним и нису изазивали сумњу.
РотаЈакиро користи технике као што су динамички АЕС, двослојни шифровани комуникацијски протоколи за супротстављање бинарне и мрежне анализе промета.
РотаЈакиро прво одређује да ли је корисник роот или некоренски у време извођења, са различитим политикама извршавања за различите налоге, а затим дешифрује релевантне осетљиве ресурсе.
Када се покрену као роот, скрипте системд-агент.цонф и сис-темд-агент.сервице креиране су за активирање малвера а злонамерна извршна датотека се налазила у следећим путањама: / бин / системд / системд -даемон и / уср / либ / системд / системд-даемон (функција дуплирана у две датотеке).
Док када је покренут као нормалан корисник, коришћена је датотека аутоматског покретања $ ХОМЕ / .цонфиг / ау-тостарт / гномехелпер.десктоп и извршене су промене у .басхрц, а извршна датотека је сачувана као $ ХОМЕ / .гвфсд / .профиле / гвфсд-хелпер и $ ХОМЕ / .дбус / сессион / сессион -дбус. Обе извршне датотеке су покренуте истовремено, од којих је свака надгледала присуство друге и обнављала је у случају искључивања.
РотаЈакиро подржава укупно 12 функција, од којих су три повезане са извршавањем одређених додатака. Нажалост, ми немамо видљивост додатака и зато не знамо њихову праву сврху. Из широке перспективе хечбека, карактеристике се могу груписати у следеће четири категорије.
Пријавите информације о уређају
Укради осетљиве информације
Управљање датотекама / додацима (провера, преузимање, брисање)
Покретање одређеног додатка
Да би се сакрили резултати његових активности на позадини, коришћени су различити алгоритми шифровања, на пример, АЕС је коришћен за шифровање својих ресурса и сакривање комуникационог канала са контролним сервером, поред употребе АЕС, КСОР и РОТАТЕ у комбинација са компресијом помоћу ЗЛИБ-а. Да би примио контролне команде, злонамерни софтвер је приступио 4 домена преко мрежног порта 443 (комуникациони канал је користио свој протокол, а не ХТТПС и ТЛС).
Домене (цдн.миррор-цодес.нет, статус.сублинеовер.нет, блог.едуелецтс.цом и невс.тхаприор.нет) регистроване су 2015. године и хостује их кијевски провајдер хостинга Делтахост. 12 основних функција интегрисано је у задња врата, омогућавајући вам учитавање и покретање додатака са напредном функционалношћу, пренос података са уређаја, пресретање поверљивих података и управљање локалним датотекама.
Из обрнуте перспективе инжењеринга, РотаЈакиро и Тории деле сличне стилове: употреба алгоритама за шифровање за сакривање осетљивих ресурса, примена прилично старомодног стила постојаности, структурирани мрежни саобраћај итд.
Коначно ако сте заинтересовани да сазнате више о истраживању направио 360 Нетлаб, можете погледати детаље одласком на следећу везу.
Не објашњавајте како се уклања или како знати да ли смо заражени или не, што је лоше за здравље.
Занимљив чланак и занимљива анализа на линку који га прати, али пропуштам реч о вектору заразе. Да ли је то тројански вирус, црв или само вирус? ... На шта треба пазити да бисмо избегли инфекцију?
И у чему је разлика?
Сам по себи системд је већ малвер ..