Navorsingslaboratorium 360 Netlab het die identifikasie van nuwe wanware vir Linux, met die kodenaam RotaJakiro, gerapporteer en insluitend die implementering van 'n agterdeur wat jou toelaat om die stelsel te beheer. Die wanware kon deur aanvallers geïnstalleer gewees het nadat hulle onverwerkte kwesbaarhede in die stelsel uitgebuit het of swak wagwoorde geraai het.
Die agterdeur is ontdek tydens die ontleding van verdagte verkeer van een van die stelselprosesse, geïdentifiseer tydens ontleding van die struktuur van die botnet wat vir die DDoS-aanval gebruik is. Voor dit het RotaJakiro vir drie jaar onopgemerk gebly; veral die eerste pogings om lêers te skandeer met MD5-hashes wat ooreenstem met die geïdentifiseerde wanware in die VirusTotal-diens, is gedateer Mei 2018.
Een van die kenmerke van RotaJakiro is die gebruik van verskillende kamoefleertegnieke wanneer jy as 'n onbevoorregte gebruiker en wortel hardloop. Om sy teenwoordigheid weg te steek, het die agterdeur die prosesname systemd-daemon, session-dbus en gvfsd-helper gebruik, wat, gegewe die deurmekaarspul van moderne Linux-verspreidings met allerhande diensprosesse, met die eerste oogopslag wettig gelyk het en nie agterdog gewek het nie.
Wanneer dit met wortelregte uitgevoer word, is die skrifte /etc/init/systemd-agent.conf en /lib/systemd/system/sys-temd-agent.service geskep om die wanware te aktiveer, en die kwaadwillige uitvoerbare lêer self was geleë as / bin/systemd/systemd -daemon en /usr/lib/systemd/systemd-daemon (funksionaliteit is in twee lêers gedupliseer). Wanneer dit as 'n standaardgebruiker gebruik word, is die outostart-lêer $HOME/.config/au-tostart/gnomehelper.desktop gebruik en veranderinge is aan .bashrc aangebring, en die uitvoerbare lêer is gestoor as $HOME/.gvfsd/.profile/gvfsd -helper en $HOME/ .dbus/sessies/sessie-dbus. Beide uitvoerbare lêers is gelyktydig geloods, wat elkeen die teenwoordigheid van die ander gemonitor het en dit herstel as dit beëindig word.
Om die resultate van hul aktiwiteite in die agterdeur weg te steek, is verskeie enkripsie-algoritmes gebruik, byvoorbeeld, AES is gebruik om hul hulpbronne te enkripteer, en 'n kombinasie van AES, XOR en ROTATE in kombinasie met kompressie met behulp van ZLIB is gebruik om die kommunikasiekanaal te versteek met die beheerbediener.
Om beheeropdragte te ontvang, het die wanware 4 domeine gekontak via netwerkpoort 443 (die kommunikasiekanaal het sy eie protokol gebruik, nie HTTPS en TLS nie). Die domeine (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com en news.thaprior.net) is in 2015 geregistreer en aangebied deur die Kyiv-gasheerverskaffer Deltahost. 12 basiese funksies is in die agterdeur geïntegreer, wat dit moontlik gemaak het om plugins met gevorderde funksionaliteit te laai en uit te voer, toesteldata oor te dra, sensitiewe data te onderskep en plaaslike lêers te bestuur.
Bron: opennet.ru