Forskningslabbet 360 Netlab meddelade identifiera en ny skadlig programvara för Linux, med kodnamn RotaJakiro och som inkluderar en bakdörrsimplementering som låter dig styra systemet. Angripare kan ha installerat skadlig programvara efter att ha utnyttjat olösta sårbarheter i systemet eller gissat svaga lösenord.
Bakdörren upptäcktes vid analys av misstänkt trafik av en av systemprocesserna som identifierades under analysen av strukturen för botnätet som användes för DDoS-attacken. Dessförinnan gick RotaJakiro under radarn i tre år, särskilt de första försöken att verifiera filer med MD5-hashar på VirusTotal-tjänsten som matchar upptäckt skadlig programvara går tillbaka till maj 2018.
Vi döpte det till RotaJakiro baserat på det faktum att familjen använder roterande kryptering och beter sig olika root-/icke-root-konton när de körs.
RotaJakiro är mycket noga med att dölja sina spår genom att använda flera krypteringsalgoritmer, inklusive: använda AES-algoritmen för att kryptera resursinformation inom provet; C2-kommunikation med en kombination av AES, XOR, ROTATE-kryptering och ZLIB-komprimering.
En av funktionerna hos RotaJakiro är användningen av olika maskeringstekniker. när du kör som en oprivilegierad användare och root. För att dölja din närvaro, skadlig programvara använde systemd-daemon processnamn, session-dbus och gvfsd-helper, som, med tanke på röran av moderna Linux-distributioner med alla möjliga tjänsteprocesser, vid första anblicken verkade legitima och inte väckte misstankar.
RotaJakiro använder tekniker som dynamisk AES, krypterade kommunikationsprotokoll med dubbla lager för att motverka binär- och nätverkstrafikanalys.
RotaJakiro avgör först om användaren är root eller icke-root vid körning, med olika exekveringspolicyer för olika konton, och dekrypterar sedan de relevanta känsliga resurserna.
När de kördes som root skapades skripten systemd-agent.conf och systemd-agent.service för att aktivera skadlig programvara och den skadliga körbara filen fanns inom följande sökvägar: /bin/systemd/systemd-daemon och /usr/lib/systemd/systemd-daemon (dubblettfunktionalitet i två filer).
Medan när den kördes som en vanlig användare användes autorun-filen $HOME/.config/au-tostart/gnomehelper.desktop och ändringar gjordes i .bashrc, och den körbara filen sparades som $HOME/.gvfsd/.profile/gvfsd-helper och $HOME/.dbus/sessions/session -dbus. Båda körbara filerna lanserades samtidigt, var och en övervakade den andras närvaro och återställde den vid avstängning.
RotaJakiro stöder totalt 12 funktioner, varav tre är relaterade till att köra specifika plugins. Tyvärr har vi inte insyn i plugins och vet därför inte deras verkliga syfte. Ur ett brett bakdörrsperspektiv kan funktioner grupperas i följande fyra kategorier.
Rapportera enhetsinformation
Stjäla känslig information
Fil-/pluginhantering (visa, ladda ner, radera)
Kör ett specifikt plugin
För att dölja resultaten av deras bakdörrsaktiviteter användes olika krypteringsalgoritmer, till exempel användes AES för att kryptera deras resurser och för att dölja kommunikationskanalen med kontrollservern, förutom användningen av AES, XOR och ROTATE. i kombination med komprimering med ZLIB. För att ta emot kontrollkommandon fick skadlig programvara åtkomst till 4 domäner via nätverksport 443 (kommunikationskanalen använde sitt eget protokoll, inte HTTPS och TLS).
Domänerna (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com och news.thaprior.net) registrerades 2015 och var värd för kyiv-värdleverantören Deltahost. 12 grundläggande funktioner integrerades i bakdörren, vilket gör att plug-ins med avancerad funktionalitet kan laddas och köras, enhetsdata överförs, känslig data fångas upp och lokal filhantering.
Ur ett omvänd konstruktionsperspektiv delar RotaJakiro och Torii liknande stilar: användningen av krypteringsalgoritmer för att dölja känsliga resurser, implementeringen av en ganska föråldrad uthållighetsstil, strukturerad nätverkstrafik, etc.
Slutligen Om du är intresserad av att lära dig mer om forskningen gjord av 360 Netlab kan du kontrollera detaljerna genom att gå till följande länk.
Förklara inte hur det elimineras eller hur man vet om vi är smittade eller inte, vilket är dåligt för vår hälsa.
Intressant artikel och en intressant analys i länken som medföljer, men jag saknar ett ord om infektionsvektorn. Är det en trojan, en mask eller bara ett virus, vad ska vi vara försiktiga med för att undvika vår infektion?
Och vad är skillnaden?
Om systemd redan är en skadlig kod..