Tədqiqat laboratoriyası 360 Netlab Linux üçün RotaJakiro kod adlı yeni zərərli proqram təminatının müəyyən edildiyini və sistemə nəzarət etməyə imkan verən arxa qapının həyata keçirildiyini bildirdi. Zərərli proqram sistemdəki yamaqsız boşluqlardan istifadə etdikdən və ya zəif parolları təxmin etdikdən sonra təcavüzkarlar tərəfindən quraşdırıla bilərdi.
Arxa qapı DDoS hücumu üçün istifadə edilən botnetin strukturunun təhlili zamanı müəyyən edilmiş sistem proseslərindən birinin şübhəli trafikinin təhlili zamanı aşkar edilib. Bundan əvvəl RotaJakiro üç il ərzində aşkarlanmadı; xüsusilə, VirusTotal xidmətində müəyyən edilmiş zərərli proqrama uyğun gələn MD5 heşləri ilə faylları skan etmək üçün ilk cəhdlər 2018-ci ilin may ayında edildi.
RotaJakiro-nun xüsusiyyətlərindən biri də imtiyazsız istifadəçi və kök kimi işləyərkən müxtəlif kamuflyaj üsullarından istifadə edilməsidir. Mövcudluğunu gizlətmək üçün “backdoor” sistemd-daemon, session-dbus və gvfsd-helper proses adlarından istifadə edirdi ki, bu da müasir Linux paylamalarının bütün növ xidmət prosesləri ilə qarışıqlığını nəzərə alaraq, ilk baxışda qanuni görünürdü və şübhə doğurmur.
Kök hüquqları ilə işə salındıqda, zərərli proqramı aktivləşdirmək üçün /etc/init/systemd-agent.conf və /lib/systemd/system/sys-temd-agent.service skriptləri yaradıldı və zərərli icra edilə bilən faylın özü / kimi yerləşdi. bin/systemd/systemd -daemon və /usr/lib/systemd/systemd-daemon (funksionallıq iki faylda təkrarlandı). Standart istifadəçi kimi işləyərkən $HOME/.config/au-tostart/gnomehelper.desktop autostart faylından istifadə edilib və .bashrc faylına dəyişikliklər edilib və icra olunan fayl $HOME/.gvfsd/.profile/gvfsd kimi yadda saxlanılıb. -köməkçi və $HOME/ .dbus/sessions/session-dbus. Hər iki icra olunan fayl eyni vaxtda işə salındı, hər biri digərinin mövcudluğuna nəzarət etdi və dayandırıldığı təqdirdə onu bərpa etdi.
Fəaliyyətlərinin nəticələrini arxa qapıda gizlətmək üçün bir neçə şifrələmə alqoritmlərindən istifadə edilmişdir, məsələn, onların resurslarını şifrələmək üçün AES istifadə edilmişdir və rabitə kanalını gizlətmək üçün ZLIB istifadə edərək sıxılma ilə birlikdə AES, XOR və ROTATE birləşməsindən istifadə edilmişdir. nəzarət serveri ilə.
Nəzarət əmrlərini qəbul etmək üçün zərərli proqram şəbəkə portu 4 vasitəsilə 443 domenlə əlaqə saxlayıb (rabitə kanalı HTTPS və TLS deyil, öz protokolundan istifadə edirdi). Domenlər (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com və news.thaprior.net) 2015-ci ildə qeydə alınıb və Kiyev hosting provayderi Deltahost tərəfindən yerləşdirilib. Backdoor-a 12 əsas funksiya inteqrasiya edilib ki, bu da qabaqcıl funksionallığı olan plaginləri yükləməyə və icra etməyə, cihaz məlumatlarını ötürməyə, həssas məlumatları ələ keçirməyə və yerli faylları idarə etməyə imkan verdi.
Mənbə: opennet.ru