Adroddodd labordy ymchwil 360 Netlab am nodi malware newydd ar gyfer Linux, wedi'i god-enwi RotaJakiro ac yn cynnwys gweithredu drws cefn sy'n eich galluogi i reoli'r system. Gallai'r meddalwedd maleisus fod wedi'i osod gan ymosodwyr ar ôl manteisio ar wendidau heb eu cywiro yn y system neu ddyfalu cyfrineiriau gwan.
Darganfuwyd y drws cefn yn ystod y dadansoddiad o draffig amheus o un o brosesau'r system, a nodwyd yn ystod dadansoddiad o strwythur y botnet a ddefnyddiwyd ar gyfer yr ymosodiad DDoS. Cyn hyn, roedd RotaJakiro yn parhau i fod heb ei ganfod am dair blynedd; yn benodol, roedd yr ymdrechion cyntaf i sganio ffeiliau gyda stwnsh MD5 yn cyfateb i'r meddalwedd maleisus a nodwyd yn y gwasanaeth VirusTotal yn ddyddiedig Mai 2018.
Un o nodweddion RotaJakiro yw'r defnydd o wahanol dechnegau cuddliw wrth redeg fel defnyddiwr a gwraidd di-freintiedig. I guddio ei bresenoldeb, defnyddiodd y drws cefn yr enwau prosesau systemd-daemon, session-dbus a gvfsd-helper, a oedd, o ystyried annibendod dosbarthiadau Linux modern gyda phob math o brosesau gwasanaeth, ar yr olwg gyntaf yn ymddangos yn gyfreithlon ac nid oedd yn codi amheuaeth.
Wrth redeg gyda hawliau gwraidd, crëwyd y sgriptiau /etc/init/systemd-agent.conf a /lib/systemd/system/sys-temd-agent.service i actifadu'r malware, a lleolwyd y ffeil gweithredadwy maleisus ei hun fel / bin/systemd/systemd -daemon a /usr/lib/systemd/systemd-daemon (dyblygwyd ymarferoldeb mewn dwy ffeil). Wrth redeg fel defnyddiwr safonol, defnyddiwyd y ffeil autostart $HOME/.config/au-tostart/gnomehelper.desktop a gwnaed newidiadau i .bashrc, a chafodd y ffeil gweithredadwy ei chadw fel $HOME/.gvfsd/.profile/gvfsd -helper a $HOME/ .dbus/sessions/session-dbus. Lansiwyd y ddwy ffeil gweithredadwy ar yr un pryd, gyda phob un yn monitro presenoldeb y llall a'i hadfer pe bai'n dod i ben.
Er mwyn cuddio canlyniadau eu gweithgareddau yn y drws cefn, defnyddiwyd sawl algorithm amgryptio, er enghraifft, defnyddiwyd AES i amgryptio eu hadnoddau, a defnyddiwyd cyfuniad o AES, XOR a ROTATE mewn cyfuniad â chywasgu gan ddefnyddio ZLIB i guddio'r sianel gyfathrebu gyda'r gweinydd rheoli.
I dderbyn gorchmynion rheoli, cysylltodd y malware â 4 parth trwy borth rhwydwaith 443 (defnyddiodd y sianel gyfathrebu ei phrotocol ei hun, nid HTTPS a TLS). Cofrestrwyd y parthau (cdn.mirror-codes.net, status.sublineover.net, blog.edulects.com a news.thaprior.net) yn 2015 a'u cynnal gan y darparwr cynnal Kyiv Deltahost. Cafodd 12 swyddogaeth sylfaenol eu hintegreiddio i'r drws cefn, a oedd yn caniatáu llwytho a gweithredu ategion ag ymarferoldeb uwch, trosglwyddo data dyfais, rhyng-gipio data sensitif a rheoli ffeiliau lleol.
Ffynhonnell: opennet.ru