Research Lab 360 Netlab ประกาศ การระบุมัลแวร์ใหม่สำหรับ Linux ซึ่งมีชื่อรหัส RotaJakiro และรวมถึงการใช้งานแบบลับๆ ที่อนุญาตให้ควบคุมระบบ ผู้โจมตีอาจติดตั้งซอฟต์แวร์ที่เป็นอันตรายหลังจากใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแก้ไขในระบบหรือคาดเดารหัสผ่านที่ไม่ปลอดภัย
มีการค้นพบแบ็คดอร์ในระหว่างการวิเคราะห์การจราจรที่น่าสงสัย หนึ่งในกระบวนการของระบบที่ระบุในระหว่างการวิเคราะห์โครงสร้างบ็อตเน็ตที่ใช้สำหรับการโจมตี DDoS ก่อนหน้านี้ RotaJakiro ไม่มีใครสังเกตเห็นเป็นเวลาสามปีโดยเฉพาะอย่างยิ่งความพยายามครั้งแรกในการตรวจสอบไฟล์ด้วยแฮช MD5 บนบริการ VirusTotal ที่ตรงกับวันที่ตรวจพบมัลแวร์ย้อนกลับไปในเดือนพฤษภาคม 2018
เราตั้งชื่อมันว่า RotaJakiro ตามข้อเท็จจริงที่ว่าตระกูลนี้ใช้การเข้ารหัสแบบโรตารีและทำงานแตกต่างจากบัญชีรูท / ไม่ใช่รูทเมื่อทำงาน
RotaJakiro ให้ความสำคัญกับการซ่อนร่องรอยโดยใช้อัลกอริธึมการเข้ารหัสหลายแบบรวมถึง: การใช้อัลกอริทึม AES เพื่อเข้ารหัสข้อมูลทรัพยากรภายในตัวอย่าง การสื่อสาร C2 โดยใช้การเข้ารหัส AES, XOR, ROTATE และการบีบอัด ZLIB ร่วมกัน
ลักษณะเฉพาะอย่างหนึ่งของ RotaJakiro คือการใช้เทคนิคการกำบังที่แตกต่างกัน เมื่อรันในฐานะผู้ใช้ที่ไม่มีสิทธิ์และรูท เพื่อซ่อนการแสดงตนของคุณ, มัลแวร์ใช้ชื่อกระบวนการ systemd-daemon, session-dbus และ gvfsd-helper ซึ่งทำให้ลีนุกซ์รุ่นใหม่มีความยุ่งเหยิงกับกระบวนการบริการทุกประเภทดูเหมือนถูกต้องตามกฎหมายในตอนแรกและไม่ได้ทำให้เกิดความสงสัย
RotaJakiro ใช้เทคนิคต่างๆเช่น AES แบบไดนามิกโปรโตคอลการสื่อสารที่เข้ารหัสสองชั้นเพื่อตอบโต้การวิเคราะห์การรับส่งข้อมูลแบบไบนารีและเครือข่าย
ก่อนอื่น RotaJakiro จะพิจารณาว่าผู้ใช้รูทหรือไม่ใช่รูทที่รันไทม์โดยมีนโยบายการดำเนินการที่แตกต่างกันสำหรับบัญชีต่างๆ
เมื่อรันในฐานะรูทสคริปต์ systemd-agent.conf และ sys-temd-agent.service ถูกสร้างขึ้นเพื่อเปิดใช้งานมัลแวร์ และไฟล์ปฏิบัติการที่เป็นอันตรายอยู่ภายในพา ธ ต่อไปนี้: / bin / systemd / systemd -daemon และ / usr / lib / systemd / systemd-daemon (ฟังก์ชันที่ซ้ำกันในสองไฟล์)
ในขณะที่ เมื่อเรียกใช้ในฐานะผู้ใช้ปกติไฟล์ทำงานอัตโนมัติจะถูกใช้ $ HOME / .config / au-tostart / gnomehelper.desktop และทำการเปลี่ยนแปลงเป็น. bashrc และไฟล์ปฏิบัติการจะถูกบันทึกเป็น $ HOME / .gvfsd / .profile / gvfsd-helper และ $ HOME / .dbus / sessions / session -dbus. ไฟล์ปฏิบัติการทั้งสองถูกเรียกใช้ในเวลาเดียวกันซึ่งแต่ละไฟล์จะตรวจสอบการมีอยู่ของอีกไฟล์หนึ่งและเรียกคืนในกรณีที่ปิดเครื่อง
RotaJakiro รองรับฟังก์ชั่นทั้งหมด 12 ฟังก์ชั่นสามอย่างที่เกี่ยวข้องกับการทำงานของปลั๊กอินเฉพาะ ขออภัยเราไม่สามารถมองเห็นปลั๊กอินได้ดังนั้นเราจึงไม่ทราบจุดประสงค์ที่แท้จริงของพวกเขา จากมุมมองกว้าง ๆ ของแฮทช์แบ็กสามารถแบ่งคุณสมบัติออกเป็นสี่ประเภทดังต่อไปนี้
รายงานข้อมูลอุปกรณ์
ขโมยข้อมูลที่ละเอียดอ่อน
การจัดการไฟล์ / ปลั๊กอิน (ตรวจสอบดาวน์โหลดลบ)
เรียกใช้ปลั๊กอินเฉพาะ
เพื่อซ่อนผลลัพธ์ของกิจกรรมบนแบ็คดอร์จึงมีการใช้อัลกอริธึมการเข้ารหัสต่างๆเช่น AES ถูกใช้เพื่อเข้ารหัสทรัพยากรและเพื่อซ่อนช่องทางการสื่อสารกับเซิร์ฟเวอร์ควบคุมนอกเหนือจากการใช้ AES, XOR และ ROTATE ใน รวมกับการบีบอัดโดยใช้ ZLIB เพื่อรับคำสั่งควบคุมมัลแวร์เข้าถึง 4 โดเมนผ่านพอร์ตเครือข่าย 443 (ช่องทางการสื่อสารใช้โปรโตคอลของตัวเองไม่ใช่ HTTPS และ TLS)
โดเมน (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com และ news.thaprior.net) ได้รับการจดทะเบียนในปี 2015 และโฮสต์โดย Deltahost ผู้ให้บริการโฮสติ้งเคียฟ ฟังก์ชั่นพื้นฐาน 12 อย่างรวมอยู่ในประตูหลังช่วยให้คุณโหลดและเรียกใช้ปลั๊กอินที่มีฟังก์ชันขั้นสูงถ่ายโอนข้อมูลอุปกรณ์สกัดกั้นข้อมูลที่เป็นความลับและจัดการไฟล์ในเครื่อง
จากมุมมองของวิศวกรรมย้อนกลับ RotaJakiro และ Torii มีรูปแบบที่คล้ายคลึงกันเช่นการใช้อัลกอริธึมการเข้ารหัสเพื่อซ่อนทรัพยากรที่ละเอียดอ่อนการใช้รูปแบบการคงอยู่ที่ค่อนข้างล้าสมัยการรับส่งข้อมูลเครือข่ายที่มีโครงสร้างเป็นต้น
ในที่สุด หากคุณสนใจที่จะเรียนรู้เพิ่มเติมเกี่ยวกับการวิจัย ทำโดย 360 Netlab คุณสามารถตรวจสอบรายละเอียดได้ โดยไปที่ลิงค์ต่อไปนี้
ไม่อธิบายว่ากำจัดอย่างไรหรือจะรู้ได้อย่างไรว่าเราติดเชื้อหรือไม่ซึ่งเป็นผลเสียต่อสุขภาพ
บทความที่น่าสนใจและการวิเคราะห์ที่น่าสนใจในลิงค์ที่มาพร้อมกับมัน แต่ฉันพลาดคำเกี่ยวกับเวกเตอร์การติดเชื้อ มันเป็นโทรจันหนอนหรือไวรัส? …เราควรระวังอะไรเพื่อหลีกเลี่ยงการติดไวรัส?
และความแตกต่างคืออะไร?
ในตัว systemd นั้นมีมัลแวร์อยู่แล้ว ..