RotaJakiro：新的Linux恶意软件伪装成systemd进程

研究实验室360 Netlab宣布 识别代号为Linux的新恶意软件 RotaJakiro，其中包括一个后门实现 可以控制系统。 攻击者可能在利用系统中未经修复的漏洞或猜测较弱的密码后安装了恶意软件。

在可疑的流量分析过程中发现后门 在分析用于DDoS攻击的僵尸网络结构过程中确定的系统进程之一。 在此之前，RotaJakiro三年来一直未被人注意，特别是，首次尝试在VirusTotal服务上使用匹配检测到的恶意软件的MD5哈希值验证文件的尝试可追溯到2018年XNUMX月。

我们基于该家族使用旋转加密并且在运行时的行为不同于root /非root帐户的事实，将其命名为RotaJakiro。

RotaJakiro非常重视隐藏其痕迹，它使用多种加密算法，其中包括：使用AES算法对样本中的资源信息进行加密； 使用AES，XOR，ROTATE加密和ZLIB压缩的组合进行C2通信。

RotaJakiro的特征之一是使用不同的遮罩技术 以非特权用户和root身份运行时。 隐藏你的存在, 该恶意软件使用了进程名systemd-daemon，session-dbus和gvfsd-helper，鉴于具有各种服务进程的现代Linux发行版的混乱，乍一看似乎是合法的，并且没有引起怀疑。

RotaJakiro使用诸如动态AES，双层加密通信协议之类的技术来对抗二进制和网络流量分析。
RotaJakiro首先在运行时确定用户是root用户还是非root用户，并且对不同帐户使用不同的执行策略，然后解密相关的敏感资源。

以root身份运行时，已创建systemd-agent.conf和sys-temd-agent.service脚本来激活恶意软件。 并且恶意可执行文件位于以下路径中：/ bin / systemd / systemd-daemon和/ usr / lib / systemd / systemd-daemon（功能在两个文件中重复）。

而 以普通用户身份运行时，使用了自动运行文件 $ HOME / .config / au-tostart / gnomehelper.desktop并对.bashrc进行更改，并将可执行文件另存为$ HOME / .gvfsd / .profile / gvfsd-helper和$ HOME / .dbus /会话/会话-dbus。 两个可执行文件同时启动，每个可执行文件监视另一个文件的存在并在关机时将其恢复。

RotaJakiro总共支持12个功能，其中三个与特定插件的执行有关。 不幸的是，我们没有插件的可见性，因此我们不知道它们的真正用途。 从两厢车的广泛角度来看，功能可以分为以下四类。

报告设备信息
窃取敏感信息
文件/插件管理（检查，下载，删除）
运行特定的插件

为了在后门上隐藏其活动的结果，使用了各种加密算法，例如，除了在数据库中使用AES，XOR和ROTATE之外，还使用AES对其资源进行加密并隐藏与控制服务器的通信通道。结合使用ZLIB进行压缩。 为了接收控制命令，恶意软件通过网络端口4访问了443个域（通信通道使用其自己的协议，而不是HTTPS和TLS）。

域名（cdn.mirror-codes.net，status.sublineover.net，blog.eduelects.com和news.thaprior.net）于2015年注册，并由基辅托管提供商Deltahost托管。 后门集成了12个基本功能，使您可以加载和运行具有高级功能的附件，传输设备数据，拦截机密数据以及管理本地文件。

从逆向工程的角度来看，RotaJakiro和Torii具有相似的样式：使用加密算法隐藏敏感资源，实施相当老式的持久性样式，结构化的网络流量等。

最后 如果您有兴趣了解有关该研究的更多信息 由360 Netlab制造的，您可以查看详细信息 通过转到以下链接。