Research Lab 360 Netlab duyuruldu Linux için yeni bir kötü amaçlı yazılımın tanımlanması, kod adı RotaJakiro ve bu bir arka kapı uygulamasını içerir bu, sistemi kontrol etmeye izin verir. Saldırganlar, sistemdeki onarılmamış güvenlik açıklarından yararlandıktan veya zayıf parolaları tahmin ettikten sonra kötü amaçlı yazılımlar yüklemiş olabilir.
Arka kapı, şüpheli trafik analizi sırasında keşfedildi DDoS saldırısı için kullanılan botnet yapısının analizi sırasında belirlenen sistem süreçlerinden biri. Bundan önce, RotaJakiro üç yıl boyunca fark edilmedi, özellikle VirusTotal hizmetinde algılanan kötü amaçlı yazılımla eşleşen MD5 karmalarıyla dosyaları doğrulamaya yönelik ilk girişimler Mayıs 2018'e kadar uzanıyor.
Ailenin döner şifreleme kullanması ve çalışırken kök / kök olmayan hesaplardan farklı davrandığı gerçeğine dayanarak onu RotaJakiro olarak adlandırdık.
RotaJakiro, aşağıdakiler de dahil olmak üzere birden fazla şifreleme algoritması kullanarak izlerini gizlemeye çok dikkat eder: örnek içindeki kaynak bilgisini şifrelemek için AES algoritmasının kullanılması; AES, XOR, ROTATE şifreleme ve ZLIB sıkıştırmasının bir kombinasyonunu kullanan C2 iletişimi.
RotaJakiro'nun özelliklerinden biri, farklı maskeleme tekniklerinin kullanılmasıdır. ayrıcalıksız kullanıcı ve kök olarak çalıştırıldığında. Varlığını gizlemek için, kötü amaçlı yazılım, systemd-daemon işlem adlarını kullandı, session-dbus ve gvfsd-helper, modern Linux dağıtımlarının her türden hizmet süreciyle karmaşası göz önüne alındığında, ilk bakışta meşru göründü ve şüphe uyandırmadı.
RotaJakiro, ikili ve ağ trafiği analizine karşı koymak için dinamik AES, çift katmanlı şifreli iletişim protokolleri gibi teknikler kullanır.
RotaJakiro önce farklı hesaplar için farklı yürütme politikaları ile kullanıcının çalışma zamanında kök olup olmadığını belirler ve ardından ilgili hassas kaynakların şifresini çözer.
Kök olarak çalıştırıldığında, kötü amaçlı yazılımı etkinleştirmek için systemd-agent.conf ve sys-temd-agent.service betikleri oluşturuldu ve kötü amaçlı yürütülebilir dosya şu yollarda bulunuyordu: / bin / systemd / systemd -daemon ve / usr / lib / systemd / systemd-daemon (işlevsellik iki dosyada çoğaltılmıştır).
Süre normal bir kullanıcı olarak çalıştırıldığında otomatik çalıştırma dosyası kullanıldı $ HOME / .config / au-tostart / gnomehelper.desktop ve .bashrc'de değişiklikler yapıldı ve yürütülebilir dosya $ HOME / .gvfsd / .profile / gvfsd-helper ve $ HOME / .dbus / sessions / session olarak kaydedildi -dbus. Her iki yürütülebilir dosya aynı anda başlatıldı, her biri diğerinin varlığını izledi ve kapanma durumunda onu geri yükledi.
RotaJakiro, üçü belirli eklentilerin yürütülmesiyle ilgili olmak üzere toplam 12 işlevi destekler. Maalesef eklentilerin görünürlüğüne sahip değiliz ve bu nedenle gerçek amaçlarını bilmiyoruz. Geniş bir hatchback perspektifinden, özellikler aşağıdaki dört kategoriye ayrılabilir.
Cihaz bilgilerini bildir
Hassas bilgileri çalın
Dosya / eklenti yönetimi (kontrol et, indir, sil)
Belirli bir eklentiyi çalıştırmak
Arka kapıdaki faaliyetlerinin sonuçlarını gizlemek için, çeşitli şifreleme algoritmaları kullanıldı, örneğin, AES, kaynaklarını şifrelemek ve kontrol sunucusuyla iletişim kanalını gizlemek için AES, XOR ve ROTATE'in kullanımına ek olarak kullanıldı. ZLIB kullanarak sıkıştırma ile kombinasyon. Kontrol komutlarını almak için kötü amaçlı yazılım, 4 numaralı ağ bağlantı noktası üzerinden 443 etki alanına erişti (iletişim kanalı HTTPS ve TLS'yi değil, kendi protokolünü kullandı).
Etki alanları (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ve news.thaprior.net) 2015 yılında kaydedildi ve Kiev barındırma sağlayıcısı Deltahost tarafından barındırıldı. Arka kapıya entegre edilmiş 12 temel işlev, gelişmiş işlevselliğe sahip eklentileri yüklemenize ve çalıştırmanıza, cihaz verilerini aktarmanıza, hassas verileri yakalamanıza ve yerel dosyaları yönetmenize olanak tanır.
Tersine mühendislik perspektifinden bakıldığında, RotaJakiro ve Torii benzer stilleri paylaşıyor: hassas kaynakları gizlemek için şifreleme algoritmalarının kullanılması, oldukça eski moda bir kalıcılık stilinin uygulanması, yapılandırılmış ağ trafiği vb.
Nihayet araştırma hakkında daha fazla bilgi edinmek istiyorsanız 360 Netlab tarafından yapılmıştır, detayları kontrol edebilirsiniz aşağıdaki bağlantıya giderek.
Nasıl ortadan kaldırıldığını veya enfekte olup olmadığımızı nasıl bileceğimizi açıklamayın ki bu sağlık için kötüdür.
İlginç bir makale ve ona eşlik eden bağlantıda ilginç analiz, ancak enfeksiyon vektörü hakkında bir kelimeyi özledim. Bir Truva atı mı, solucan mı yoksa sadece bir virüs mü? ... Bulaşmamızı önlemek için nelere dikkat etmeliyiz?
Ve fark nedir?
Systemd kendi içinde zaten bir kötü amaçlı yazılımdır ..