U laboratoriu di ricerca 360 Netlab hà infurmatu l'identificazione di novu malware per Linux, nome in codice RotaJakiro è cumprendi l'implementazione di una porta backdoor chì permette di cuntrullà u sistema. U malware puderia esse stallatu da l'attaccanti dopu à sfruttà e vulnerabilità senza patch in u sistema o guessing password debuli.
A backdoor hè stata scuperta durante l'analisi di u trafficu suspettu da unu di i prucessi di u sistema, identificatu durante l'analisi di a struttura di a botnet utilizata per l'attaccu DDoS. Prima di questu, RotaJakiro ùn era micca rilevatu per trè anni; in particulare, i primi tentativi di scansà i fugliali cù hashes MD5 chì currispondenu à u malware identificatu in u serviziu VirusTotal sò datati di maghju 2018.
Una di e caratteristiche di RotaJakiro hè l'usu di diverse tecniche di camuflage quandu eseguite cum'è un usu senza privilegiu è root. Per ammuccià a so prisenza, u backdoor hà utilizatu i nomi di prucessu systemd-daemon, session-dbus è gvfsd-helper, chì, datu l'ingaghjamentu di distribuzioni Linux muderni cù ogni tipu di prucessi di serviziu, à u primu sguardu pareva legittimu è ùn hà micca suscitatu suspetti.
Quandu eseguite cù diritti di root, i scripts /etc/init/systemd-agent.conf è /lib/systemd/system/sys-temd-agent.service sò stati creati per attivà u malware, è u schedariu eseguibile maliziusu stessu era situatu cum'è / bin/systemd/systemd -daemon è /usr/lib/systemd/systemd-daemon (a funziunalità hè stata duplicata in dui schedari). Quandu eseguisce cum'è un utilizatore standard, u schedariu autostart $HOME/.config/au-tostart/gnomehelper.desktop hè stata utilizata è i cambiamenti sò stati fatti à .bashrc, è u schedariu eseguibile hè salvatu cum'è $HOME/.gvfsd/.profile/gvfsd. -helper è $HOME/ .dbus/sessions/session-dbus. I dui fugliali eseguibili sò stati lanciati simultaneamente, ognuna di quali monitorava a presenza di l'altru è restauratu si finisce.
Per ammuccià i risultati di e so attività in u backdoor, parechji algoritmi di criptografia sò stati utilizati, per esempiu, AES hè stata utilizata per criptà e so risorse, è una cumminazione di AES, XOR è ROTATE in cumminazione cù compressione cù ZLIB hè stata utilizata per ammuccià u canali di cumunicazione. cù u servore di cuntrollu.
Per riceve cumandamenti di cuntrollu, u malware hà cuntattatu 4 domini via u portu di a rete 443 (u canali di cumunicazione hà utilizatu u so propiu protokollu, micca HTTPS è TLS). I domini (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com è news.thaprior.net) sò stati registrati in 2015 è ospitati da u fornitore di hosting Kyiv Deltahost. 12 funzioni basi sò state integrate in u backdoor, chì permettenu di carica è esecutà plugins cù funziunalità avanzata, trasmettenu dati di u dispositivu, intercepting data sensitive è gestione i schedari lucali.
Source: opennet.ru