Inanunsyo ang Research Lab 360 Netlab ang pagkakakilanlan ng isang bagong malware para sa Linux, naka-codename RotaJakiro at kasama dito ang pagpapatupad ng backdoor na nagbibigay-daan upang makontrol ang system. Ang mga umaatake ay maaaring naka-install ng nakakahamak na software matapos ang pagsasamantala sa mga hindi naayos na kahinaan sa system o paghula ng mahina na mga password.
Ang backdoor ay natuklasan sa panahon ng kahina-hinalang pagsusuri sa trapiko ng isa sa mga proseso ng system na kinilala sa panahon ng pagtatasa ng istraktura ng botnet na ginamit para sa pag-atake ng DDoS. Bago ito, hindi napansin ng RotaJakiro sa loob ng tatlong taon, sa partikular, ang mga unang pagtatangka upang i-verify ang mga file na may MD5 hash sa serbisyong VirusTotal na tumutugma sa napansin na malware ay nagsimula pa noong Mayo 2018.
Pinangalanan namin itong RotaJakiro batay sa katotohanan na gumagamit ang pamilya ng rotary encryption at naiiba ang kilos mula sa mga root / non-root account kapag tumatakbo.
Binibigyang pansin ng RotaJakiro ang pagtatago ng mga bakas nito, gamit ang maraming mga algorithm na naka-encrypt, kasama ang: paggamit ng AES algorithm upang i-encrypt ang impormasyong mapagkukunan sa loob ng sample; Ang komunikasyon sa C2 gamit ang isang kumbinasyon ng AES, XOR, ROTATE encryption, at ZLIB compression.
Ang isa sa mga katangian ng RotaJakiro ay ang paggamit ng iba't ibang mga diskarte sa masking kapag tatakbo bilang hindi sikat na gumagamit at ugat. Upang maitago ang iyong presensya, ginamit ng malware ang mga pangalan ng proseso ng systemd-daemon, session-dbus at gvfsd-helper, na kung saan, binigyan ng kalat ng mga modernong pamamahagi ng Linux sa lahat ng uri ng mga proseso ng serbisyo, tila lehitimo sa unang tingin at hindi pumukaw ng hinala.
Gumagamit ang RotaJakiro ng mga diskarteng tulad ng pabago-bagong AES, mga naka-encrypt na dobleng layer na mga protokol ng komunikasyon upang kontrahin ang pagtatasa ng binary at trapiko sa network.
Tinutukoy muna ng RotaJakiro kung ang gumagamit ay root o hindi-root sa runtime, na may iba't ibang mga patakaran sa pagpapatupad para sa iba't ibang mga account, pagkatapos ay mai-decrypts ang nauugnay na mga mapagkukunang sensitibo.
Kapag pinatakbo bilang ugat, nilikha ang script ng systemd-agent.conf at sys-temd-agent.service upang maisaaktibo ang malware at ang nakakahamak na maipatupad ay matatagpuan sa loob ng mga sumusunod na landas: / bin / systemd / systemd -daemon at / usr / lib / systemd / systemd-daemon (pagpapaandar na doble sa dalawang mga file).
habang kapag tumakbo bilang isang normal na gumagamit ginamit ang autorun file Ang $ HOME / .config / au-tostart / gnomehelper.desktop at mga pagbabago ay ginawa sa .bashrc, at ang naipapatupad na file ay nai-save bilang $ HOME / .gvfsd / .profile / gvfsd-helper at $ HOME / .dbus / session / session -dbus. Ang parehong naisasagawa na mga file ay inilunsad nang sabay, na ang bawat isa ay nagsubaybay sa pagkakaroon ng isa pa at naibalik ito sa kaso ng pag-shutdown.
Sinusuportahan ng RotaJakiro ang isang kabuuang 12 mga pag-andar, tatlo sa mga ito ay nauugnay sa pagpapatupad ng mga tukoy na plugin. Sa kasamaang palad, wala kaming kakayahang makita ng mga plugin at samakatuwid hindi namin alam ang kanilang totoong layunin. Mula sa isang malawak na pananaw sa hatchback, ang mga tampok ay maaaring mapangkat sa mga sumusunod na apat na kategorya.
Iulat ang impormasyon sa aparato
Magnakaw ng sensitibong impormasyon
Pamamahala ng file / plugin (suriin, i-download, tanggalin)
Pagpapatakbo ng isang tukoy na plugin
Upang maitago ang mga resulta ng mga aktibidad nito sa backdoor, iba't ibang mga algorithm ng pag-encrypt ang ginamit, halimbawa, ginamit ang AES upang i-encrypt ang mga mapagkukunan nito at upang itago ang channel ng komunikasyon sa control server, bilang karagdagan sa paggamit ng AES, XOR at ROTATE sa na sinamahan ng compression gamit ang ZLIB. Upang makatanggap ng mga utos ng kontrol, na-access ng malware ang 4 na mga domain sa pamamagitan ng network port 443 (ang channel ng komunikasyon ay gumamit ng sarili nitong protocol, hindi HTTPS at TLS).
Ang mga domain (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com, at news.thaprior.net) ay nakarehistro noong 2015 at na-host ng Kiev hosting provider na Deltahost. 12 pangunahing mga pag-andar ay isinama sa pintuan sa likuran, pinapayagan kang mag-load at magpatakbo ng mga add-on na may advanced na pag-andar, ilipat ang data ng aparato, maharang ang kumpidensyal na data, at pamahalaan ang mga lokal na file.
Mula sa isang baligtad na pananaw sa engineering, nagbabahagi ang RotaJakiro at Torii ng magkatulad na mga istilo: ang paggamit ng mga algorithm na naka-encrypt upang itago ang mga sensitibong mapagkukunan, ang pagpapatupad ng isang medyo makalumang istilo ng pagtitiyaga, nakabalangkas na trapiko sa network, atbp.
Sa wakas kung interesado kang malaman ang tungkol sa pagsasaliksik ginawa ng 360 Netlab, maaari mong suriin ang mga detalye sa pamamagitan ng pagpunta sa sumusunod na link.
Huwag ipaliwanag kung paano ito natanggal o kung paano malalaman kung nahawahan tayo o hindi, na masama para sa kalusugan.
Kagiliw-giliw na artikulo at kagiliw-giliw na pagtatasa sa link na kasama nito, ngunit napalampas ko ang isang salita tungkol sa vector ng impeksyon. Ito ba ay isang Trojan, isang bulate o isang virus lamang?… Ano ang dapat nating maging maingat upang maiwasan ang ating impeksyon?
At ano ang pagkakaiba?
Sa sarili nitong systemd ay isang malware ..