Výzkumná laboratoř 360 Netlab oznámila identifikaci nového malwaru pro Linux s kódovým označením RotaJakiro a včetně implementace zadních vrátek, které umožňují ovládat systém. Malware mohli nainstalovat útočníci po zneužití neopravených zranitelností v systému nebo uhodnutí slabých hesel.
Zadní vrátka byla objevena při analýze podezřelého provozu z jednoho ze systémových procesů, identifikovaného při analýze struktury botnetu použitého pro DDoS útok. Předtím zůstal RotaJakiro tři roky nedetekován; konkrétně první pokusy o skenování souborů pomocí MD5 hash odpovídajících identifikovanému malwaru ve službě VirusTotal byly datovány v květnu 2018.
Jednou z vlastností RotaJakiro je použití různých maskovacích technik při běhu jako neprivilegovaný uživatel a root. Ke skrytí své přítomnosti backdoor využíval názvy procesů systemd-daemon, session-dbus a gvfsd-helper, což se vzhledem k nepřehlednosti moderních linuxových distribucí všemožnými servisními procesy na první pohled zdálo legitimní a nevzbuzovalo podezření.
Při spuštění s právy root byly vytvořeny skripty /etc/init/systemd-agent.conf a /lib/systemd/system/sys-temd-agent.service k aktivaci malwaru a samotný škodlivý spustitelný soubor byl umístěn jako / bin/systemd/systemd -daemon a /usr/lib/systemd/systemd-daemon (funkce byla duplikována ve dvou souborech). Při spuštění jako standardní uživatel byl použit autostart soubor $HOME/.config/au-tostart/gnomehelper.desktop a byly provedeny změny v .bashrc a spustitelný soubor byl uložen jako $HOME/.gvfsd/.profile/gvfsd -helper a $HOME/ .dbus/sessions/session-dbus. Oba spustitelné soubory byly spuštěny současně, z nichž každý sledoval přítomnost toho druhého a obnovil jej, pokud byl ukončen.
Pro skrytí výsledků jejich činnosti v zadních vrátkách bylo použito několik šifrovacích algoritmů, například AES byl použit pro šifrování jejich zdrojů a kombinace AES, XOR a ROTATE v kombinaci s kompresí pomocí ZLIB byla použita pro skrytí komunikačního kanálu. s řídicím serverem.
Pro příjem řídicích příkazů kontaktoval malware 4 domény přes síťový port 443 (komunikační kanál používal svůj vlastní protokol, nikoli HTTPS a TLS). Domény (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com a news.thaprior.net) byly zaregistrovány v roce 2015 a hostovány kyjevským poskytovatelem hostingu Deltahost. Do zadních vrátek bylo integrováno 12 základních funkcí, které umožňovaly načítání a spouštění pluginů s pokročilou funkčností, přenos dat zařízení, zachycování citlivých dat a správu lokálních souborů.
Zdroj: opennet.ru