Netlab 360 tədqiqat laboratoriyası yeni zərərli proqram təminatının aşkarlandığını bildirib. Linux, RotaJakiro kod adlı və sistemə nəzarət etməyə imkan verən arxa qapını özündə birləşdirən bir proqram. Zərərli proqram, sistemdəki yamaqlanmamış zəifliklərdən istifadə edən və ya zəif parolları kobudcasına zorla ələ keçirən hücumçular tərəfindən quraşdırıla bilərdi.
Arxa qapı DDoS hücumu üçün istifadə edilən botnetin strukturunun təhlili zamanı müəyyən edilmiş sistem proseslərindən birinin şübhəli trafikinin təhlili zamanı aşkar edilib. Bundan əvvəl RotaJakiro üç il ərzində aşkarlanmadı; xüsusilə, VirusTotal xidmətində müəyyən edilmiş zərərli proqrama uyğun gələn MD5 heşləri ilə faylları skan etmək üçün ilk cəhdlər 2018-ci ilin may ayında edildi.
RotaJakiro-nun fərqli xüsusiyyətlərinə imtiyazsız istifadəçi və root kimi işləyərkən müxtəlif kamuflyaj texnikalarından istifadə etməsi daxildir. Mövcudluğunu gizlətmək üçün arxa qapıda systemd-daemon, session-dbus və gvfsd-helper proses adlarından istifadə olunurdu ki, bu da müasir distributivlərin qarışıqlığını nəzərə alaraq, Linux ilk baxışdan hər cür rəsmi proseslər qanuni görünürdü və şübhə doğurmurdu.
Kök hüquqları ilə işə salındıqda, zərərli proqramı aktivləşdirmək üçün /etc/init/systemd-agent.conf və /lib/systemd/system/sys-temd-agent.service skriptləri yaradıldı və zərərli icra edilə bilən faylın özü / kimi yerləşdi. bin/systemd/systemd -daemon və /usr/lib/systemd/systemd-daemon (funksionallıq iki faylda təkrarlandı). Standart istifadəçi kimi işləyərkən $HOME/.config/au-tostart/gnomehelper.desktop autostart faylından istifadə edilib və .bashrc faylına dəyişikliklər edilib və icra olunan fayl $HOME/.gvfsd/.profile/gvfsd kimi yadda saxlanılıb. -köməkçi və $HOME/ .dbus/sessions/session-dbus. Hər iki icra olunan fayl eyni vaxtda işə salındı, hər biri digərinin mövcudluğuna nəzarət etdi və dayandırıldığı təqdirdə onu bərpa etdi.
Fəaliyyətinin nəticələrini gizlətmək üçün arxa qapı bir neçə şifrələmə alqoritmindən istifadə etmişdir, məsələn, resurslarını şifrələmək və idarəetmə ilə rabitə kanalını gizlətmək üçün AES istifadə edilmişdir. server AES, XOR və ROTATE-in ZLIB istifadə edərək sıxılma ilə birləşdirilmiş kombinasiyası.
Nəzarət əmrlərini almaq üçün zərərli proqram 443 şəbəkə portu vasitəsilə dörd domenə daxil olub (rabitə kanalı HTTPS və ya TLS deyil, öz protokolundan istifadə edib). Domenlər (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com və news.thaprior.net) 2015-ci ildə qeydiyyata alınıb və Kiyevdə yerləşən şirkət tərəfindən yerləşdirilib. hosting provayderi Deltahost. Arxa qapı, inkişaf etmiş funksionallıqla plaginləri yükləməyə və icra etməyə, cihaz məlumatlarını ötürməyə, həssas məlumatları ələ keçirməyə və yerli faylları idarə etməyə imkan verən 12 əsas funksiyanı özündə birləşdirirdi.
Mənbə: opennet.ru
