RotaJakiro：新的Linux惡意軟件偽裝成systemd進程

360 Netlab研究實驗室宣布 識別出一種新的 Linux 惡意軟件，代號為 RotaJakiro 並包含後門實施 允許您控制系統。 攻擊者可能在利用系統中未解決的漏洞或猜測弱密碼後安裝了惡意軟件。

在分析可疑流量時發現後門 在分析用於 DDoS 攻擊的殭屍網絡結構期間識別出的系統進程之一。 在此之前，RotaJakiro 已經低調了三年，特別是在 VirusTotal 服務上首次嘗試使用與檢測到的惡意軟件相匹配的 MD5 哈希來驗證文件的時間可以追溯到 2018 年 XNUMX 月。

我們將其命名為 RotaJakiro，因為該系列使用旋轉加密，並且在運行時根/非根帳戶的行為不同。

RotaJakiro非常小心地隱藏其踪跡，使用了多種加密算法，包括：使用AES算法對樣本內的資源信息進行加密； 使用 AES、XOR、ROTATE 加密和 ZLIB 壓縮組合的 C2 通信。

RotaJakiro 的特點之一是使用不同的遮蔽技術。 以非特權用戶和 root 身份運行時。 隱藏你的存在, 惡意軟件使用 systemd-daemon 進程名稱、session-dbus 和 gvfsd-helper，考慮到現代 Linux 發行版中各種服務進程的混亂，乍一看似乎是合法的，並且沒有引起懷疑。

RotaJakiro 使用動態 AES、雙層加密通信協議等技術來對抗二進制和網絡流量分析。
RotaJakiro首先在運行時判斷用戶是root還是非root，針對不同的賬戶採取不同的執行策略，然後解密相關敏感資源。

當以 root 身份運行時，會創建 systemd-agent.conf 和 systemd-agent.service 腳本來激活惡意軟件 惡意可執行文件位於以下路徑中：/bin/systemd/systemd-daemon 和 /usr/lib/systemd/systemd-daemon（兩個文件中的重複功能）。

而 當以普通用戶身份運行時，使用自動運行文件 $HOME/.config/au-tostart/gnomehelper.desktop 並對 .bashrc 進行了更改，可執行文件保存為 $HOME/.gvfsd/.profile/gvfsd-helper 和 $HOME/.dbus/sessions/session-dbus。 兩個可執行文件同時啟動，每個文件都監視對方的存在並在關閉時恢復它。

RotaJakiro 總共支持 12 個功能，其中三個與運行特定插件相關。 不幸的是，我們無法了解這些插件，因此不知道它們的真正用途。 從廣泛的後門角度來看，後門的功能可以分為以下四類。

上報設備信息
竊取敏感信息
文件/插件管理（查看、下載、刪除）
運行特定插件

為了隱藏後門活動的結果，使用了各種加密算法，例如，使用 AES 來加密其資源並隱藏與控制服務器的通信通道，以及使用 AES、XOR 和 ROTATE 與 ZLIB 壓縮相結合。 為了接收控制命令，惡意軟件通過網絡端口 4 訪問 443 個域（通信通道使用自己的協議，而不是 HTTPS 和 TLS）。

這些域名（cdn.mirror-codes.net、status.sublineover.net、blog.eduelects.com 和 news.thaprior.net）於 2015 年註冊，由基輔託管提供商 Deltahost 託管。 該後門集成了12個基本功能，允許加載和運行具有高級功能的插件、傳輸設備數據、攔截敏感數據以及本地文件管理。

從逆向工程的角度來看，RotaJakiro 和 Torii 有著相似的風格：使用加密算法隱藏敏感資源、實現相當過時的持久化風格、結構化網絡流量等。

終於 如果您有興趣了解更多有關該研究的信息 360 Netlab製作，可查看詳情 通過轉到以下鏈接。