የምርምር ላቦራቶሪ 360 ኔትላብ ለሊኑክስ አዲስ ማልዌር መታወቂያውን ዘግቧል፡ ሮታጃኪሮ የሚል ስያሜ የተሰጠው እና ስርዓቱን እንድትቆጣጠሩ የሚያስችልዎትን የጀርባ በር መተግበርን ጨምሮ። ተንኮል አዘል ዌር በአጥቂዎች የተጫነው በሲስተሙ ውስጥ ያልተገለሉ ተጋላጭነቶችን ከተጠቀሙ ወይም ደካማ የይለፍ ቃሎችን ከገመቱ በኋላ ነው።
የኋለኛው በር የተገኘው ለዲዶኤስ ጥቃት ጥቅም ላይ የዋለው የ botnet መዋቅር ሲተነተን ከተለዩ የስርዓት ሂደቶች ውስጥ አጠራጣሪ ትራፊክ ሲተነተን ነው። ከዚህ በፊት ሮታጃኪሮ ለሶስት አመታት ሳይታወቅ ቆይቷል፤ በተለይም በVirusTotal አገልግሎት ውስጥ ከተገለጸው ማልዌር ጋር በሚዛመዱ MD5 hashes ለመቃኘት የተደረገው የመጀመሪያ ሙከራ በግንቦት 2018 ነበር።
የRotaJakiro አንዱ ባህሪ እንደ ያልተፈቀደ ተጠቃሚ እና ስር ሲሰራ የተለያዩ የማስመሰል ቴክኒኮችን መጠቀም ነው። መገኘቱን ለመደበቅ የኋለኛው በር ሲስተምድ-ዳሞን ፣ ክፍለ-ዲቢስ እና gvfsd-helper የተባሉትን የሂደቱን ስሞች ተጠቅሟል ፣ይህም የዘመናዊው የሊኑክስ ስርጭቶች በሁሉም የአገልግሎት ሂደቶች የተዝረከረኩ ሲሆን በመጀመሪያ በጨረፍታ ህጋዊ ይመስላል እና ጥርጣሬን አላስከተለም።
ከስር መብቶች ጋር ሲሄዱ ስክሪፕቶቹ /etc/init/systemd-agent.conf እና /lib/systemd/system/sys-temd-agent.service ማልዌርን ለማንቃት ተፈጥረዋል፣ እና ተንኮል-አዘል ፈጻሚው ፋይል ራሱ እንደ / ይገኛል። bin/systemd/systemd -daemon እና /usr/lib/systemd/systemd-daemon (ተግባሩ በሁለት ፋይሎች ተባዝቷል)። እንደ መደበኛ ተጠቃሚ በሚሄድበት ጊዜ፣ የ autostart ፋይል $HOME/.config/au-tostart/gnomehelper.desktop ጥቅም ላይ ውሎ ነበር እና .bashrc ላይ ለውጦች ተደርገዋል፣ እና ተፈፃሚው ፋይል እንደ $HOME/.gvfsd/.profile/gvfsd ተቀምጧል። -ረዳት እና $HOME/ .dbus/ክፍለ-ጊዜዎች/ክፍለ-dbus። ሁለቱም ተፈጻሚነት ያላቸው ፋይሎች በአንድ ጊዜ ተጀምረዋል, እያንዳንዳቸው የሌላውን መኖር ይከታተሉ እና ከተቋረጠ ወደነበሩበት ይመለሳሉ.
በጓሮ በር ውስጥ የእንቅስቃሴዎቻቸውን ውጤት ለመደበቅ ፣ በርካታ የኢንክሪፕሽን ስልተ ቀመሮች ጥቅም ላይ ውለዋል ፣ ለምሳሌ ፣ AES ሀብታቸውን ለማመሳጠር ጥቅም ላይ ውለዋል ፣ እና AES ፣ XOR እና ROTATE ጥምረት ከኮምፕሬሽን ጋር በማጣመር የግንኙነት ቻናልን ለመደበቅ ጥቅም ላይ ውሏል ። ከመቆጣጠሪያ አገልጋይ ጋር.
የቁጥጥር ትዕዛዞችን ለመቀበል ማልዌር በኔትወርክ ወደብ 4 በኩል 443 ጎራዎችን አነጋግሯል (የመገናኛ ቻናሉ የተጠቀመው የራሱን ፕሮቶኮል እንጂ HTTPS እና TLS አይደለም)። ጎራዎቹ (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com እና news.thaprior.net) በ2015 የተመዘገቡ እና በኪየቭ አስተናጋጅ ዴልታሆስት የተስተናገዱ ናቸው። 12 መሰረታዊ ተግባራት በጓሮ በር ውስጥ የተዋሃዱ ሲሆን ይህም ተሰኪዎችን ከላቁ ተግባራት ጋር መጫን እና ማስፈጸም፣ የመሣሪያ ውሂብን ማስተላለፍ፣ ስሱ መረጃዎችን መጥለፍ እና አካባቢያዊ ፋይሎችን ማስተዳደርን አስችሏል።
ምንጭ: opennet.ru