RotaJakiro е нов зловреден софтуер за Linux, който се маскира като systemd процес

Изследователската лаборатория 360 Netlab съобщи за идентифицирането на нов злонамерен софтуер за Linux, с кодово име RotaJakiro и включващ внедряването на задна врата, която ви позволява да контролирате системата. Злонамереният софтуер може да е бил инсталиран от нападатели след използване на неотстранени уязвимости в системата или отгатване на слаби пароли.

Задната врата е открита при анализ на подозрителен трафик от един от системните процеси, идентифициран при анализ на структурата на ботнета, използван за DDoS атака. Преди това RotaJakiro остана неоткрит в продължение на три години; по-специално, първите опити за сканиране на файлове с MD5 хешове, съответстващи на идентифицирания зловреден софтуер в услугата VirusTotal, бяха от май 2018 г.

Една от характеристиките на RotaJakiro е използването на различни техники за камуфлаж, когато работите като непривилегирован потребител и root. За да скрие присъствието си, задната вратичка използва имената на процесите systemd-daemon, session-dbus и gvfsd-helper, които, като се има предвид претрупаността на съвременните дистрибуции на Linux с всевъзможни сервизни процеси, на пръв поглед изглеждат легитимни и не будят подозрение.

Когато се изпълняват с root права, скриптовете /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service са създадени за активиране на злонамерения софтуер, а самият злонамерен изпълним файл се намира като / bin/systemd/systemd -daemon и /usr/lib/systemd/systemd-daemon (функционалността беше дублирана в два файла). Когато се изпълнява като стандартен потребител, беше използван файлът за автоматично стартиране $HOME/.config/au-tostart/gnomehelper.desktop и бяха направени промени в .bashrc, а изпълнимият файл беше записан като $HOME/.gvfsd/.profile/gvfsd -helper и $HOME/ .dbus/sessions/session-dbus. И двата изпълними файла бяха стартирани едновременно, всеки от които следеше присъствието на другия и го възстановяваше, ако беше прекъснат.

За да скрият резултатите от техните дейности в задната врата, бяха използвани няколко алгоритми за криптиране, например AES беше използван за криптиране на техните ресурси и комбинация от AES, XOR и ROTATE в комбинация с компресия с помощта на ZLIB беше използвана за скриване на комуникационния канал с контролния сървър.

За да получи контролни команди, зловредният софтуер се свърза с 4 домейна през мрежов порт 443 (комуникационният канал използва собствен протокол, а не HTTPS и TLS). Домейните (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) са регистрирани през 2015 г. и се хостват от киевския хостинг доставчик Deltahost. 12 основни функции бяха интегрирани в задната врата, което позволяваше зареждане и изпълнение на плъгини с разширена функционалност, предаване на данни от устройството, прихващане на чувствителни данни и управление на локални файлове.

Източник: opennet.ru