Ang research laboratory 360 Netlab nagtaho sa pag-ila sa bag-ong malware para sa Linux, gi-codenamed RotaJakiro ug lakip na ang pagpatuman sa backdoor nga nagtugot kanimo sa pagkontrolar sa sistema. Ang malware mahimo unta nga na-install sa mga tig-atake pagkahuman gipahimuslan ang wala ma-patch nga mga kahuyangan sa sistema o pagtag-an nga huyang nga mga password.
Ang backdoor nadiskobrehan sa panahon sa pag-analisar sa kadudahang trapiko gikan sa usa sa mga proseso sa sistema, nga giila sa panahon sa pag-analisar sa istruktura sa botnet nga gigamit alang sa pag-atake sa DDoS. Sa wala pa kini, ang RotaJakiro nagpabilin nga wala mahibal-an sulod sa tulo ka tuig; labi na, ang una nga pagsulay sa pag-scan sa mga file nga adunay MD5 nga mga hash nga katumbas sa giila nga malware sa serbisyo sa VirusTotal napetsahan sa Mayo 2018.
Usa sa mga bahin sa RotaJakiro mao ang paggamit sa lainlaing mga teknik sa camouflage kung nagdagan ingon usa ka walaβy pribilehiyo nga tiggamit ug gamut. Aron itago ang presensya niini, gigamit sa backdoor ang mga ngalan sa proseso systemd-daemon, session-dbus ug gvfsd-helper, nga, tungod sa kasamok sa modernong mga pag-apod-apod sa Linux nga adunay tanan nga matang sa mga proseso sa serbisyo, sa una nga pagtan-aw daw lehitimo ug wala makapukaw sa pagduda.
Kung nagdagan nga adunay mga katungod sa gamut, ang mga script /etc/init/systemd-agent.conf ug /lib/systemd/system/sys-temd-agent.service gihimo aron ma-aktibo ang malware, ug ang makadaot nga executable file mismo nahimutang ingon / bin/systemd/systemd -daemon ug /usr/lib/systemd/systemd-daemon (gi-duplicate ang function sa duha ka file). Sa diha nga nagdagan isip standard user, ang autostart file nga $HOME/.config/au-tostart/gnomehelper.desktop gigamit ug ang mga kausaban gihimo ngadto sa .bashrc, ug ang executable file gitipigan isip $HOME/.gvfsd/.profile/gvfsd -katabang ug $HOME/ .dbus/sessions/session-dbus. Ang duha ka mga executable nga mga file dungan nga gilunsad, nga ang matag usa nag-monitor sa presensya sa lain ug gipahiuli kini kung kini natapos.
Aron itago ang mga resulta sa ilang mga kalihokan sa backdoor, daghang mga algorithm sa pag-encrypt ang gigamit, pananglitan, ang AES gigamit sa pag-encrypt sa ilang mga kahinguhaan, ug ang kombinasyon sa AES, XOR ug ROTATE inubanan sa compression gamit ang ZLIB gigamit sa pagtago sa channel sa komunikasyon. uban sa control server.
Aron makadawat mga control command, ang malware mikontak sa 4 ka domain pinaagi sa network port 443 (ang komunikasyon channel migamit sa kaugalingon nga protocol, dili HTTPS ug TLS). Ang mga domain (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ug news.thaprior.net) narehistro sa 2015 ug gi-host sa Kyiv hosting provider Deltahost. Ang 12 ka mga batakang gimbuhaton gisagol sa backdoor, nga nagtugot sa pagkarga ug pagpatuman sa mga plugins nga adunay advanced functionality, pagpadala sa data sa device, pag-intercept sa sensitibo nga datos ug pagdumala sa lokal nga mga file.
Source: opennet.ru