Istraživačka laboratorija 360 Netlab prijavila je identifikaciju novog zlonamjernog softvera za Linux, kodnog naziva RotaJakiro i uključujući implementaciju backdoor-a koji vam omogućava kontrolu sistema. Zlonamjerni softver su mogli instalirati napadači nakon što su iskoristili nezakrpljene ranjivosti u sistemu ili pogodili slabe lozinke.
Backdoor je otkriven tokom analize sumnjivog saobraćaja iz jednog od sistemskih procesa, identifikovanog tokom analize strukture botneta koji se koristi za DDoS napad. Prije toga, RotaJakiro je ostao neotkriven tri godine; posebno, prvi pokušaji skeniranja datoteka s MD5 hešovima koji odgovaraju identificiranom zlonamjernom softveru u servisu VirusTotal datirani su u maju 2018.
Jedna od karakteristika RotaJakiro-a je korištenje različitih kamuflažnih tehnika kada radite kao neprivilegirani korisnik i root. Da bi sakrio svoje prisustvo, backdoor je koristio nazive procesa systemd-daemon, session-dbus i gvfsd-helper, što je, s obzirom na nered modernih Linux distribucija sa svim vrstama servisnih procesa, na prvi pogled izgledalo legitimno i nije izazivalo sumnju.
Kada su pokrenute s root pravima, skripte /etc/init/systemd-agent.conf i /lib/systemd/system/sys-temd-agent.service su kreirane da aktiviraju zlonamjerni softver, a sama zlonamjerna izvršna datoteka se nalazila kao / bin/systemd/systemd -daemon i /usr/lib/systemd/systemd-daemon (funkcionalnost je duplirana u dva fajla). Kada se radi kao standardni korisnik, korištena je autostart datoteka $HOME/.config/au-tostart/gnomehelper.desktop i napravljene su promjene u .bashrc, a izvršna datoteka je sačuvana kao $HOME/.gvfsd/.profile/gvfsd -helper i $HOME/ .dbus/sessions/session-dbus. Oba izvršna fajla su pokrenuta istovremeno, od kojih je svaki pratio prisustvo druge i vraćao je ako je prekinut.
Da bi se sakrili rezultati njihovih aktivnosti u backdooru, korišteno je nekoliko algoritama za šifriranje, na primjer, AES je korišten za šifriranje njihovih resursa, a kombinacija AES, XOR i ROTATE u kombinaciji sa kompresijom pomoću ZLIB-a korištena je za skrivanje komunikacijskog kanala sa kontrolnim serverom.
Da bi primio kontrolne komande, zlonamjerni softver je kontaktirao 4 domene preko mrežnog porta 443 (komunikacijski kanal je koristio vlastiti protokol, a ne HTTPS i TLS). Domeni (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com i news.thaprior.net) su registrovani 2015. godine i hostovani su od strane kijevskog hosting provajdera Deltahost. U backdoor je integrirano 12 osnovnih funkcija, što je omogućilo učitavanje i izvršavanje dodataka s naprednom funkcionalnošću, prijenos podataka uređaja, presretanje osjetljivih podataka i upravljanje lokalnim datotekama.
izvor: opennet.ru