Forskningslaboratoriet 360 Netlab rapporterede identifikation af ny malware til Linux, kodenavnet RotaJakiro og inklusive implementering af en bagdør, der giver dig mulighed for at styre systemet. Malwaren kunne være blevet installeret af angribere efter at have udnyttet uoprettede sårbarheder i systemet eller gættet svage adgangskoder.
Bagdøren blev opdaget under analysen af mistænkelig trafik fra en af systemprocesserne, identificeret under analyse af strukturen af det botnet, der blev brugt til DDoS-angrebet. Før dette forblev RotaJakiro uopdaget i tre år; især var de første forsøg på at scanne filer med MD5-hash, der matchede den identificerede malware i VirusTotal-tjenesten, dateret maj 2018.
En af funktionerne ved RotaJakiro er brugen af forskellige camouflageteknikker, når du kører som en uprivilegeret bruger og root. For at skjule sin tilstedeværelse brugte bagdøren procesnavnene systemd-daemon, session-dbus og gvfsd-helper, hvilket, givet rodet af moderne Linux-distributioner med alle mulige serviceprocesser, ved første øjekast virkede legitimt og ikke vækkede mistanke.
Når de blev kørt med rodrettigheder, blev scripts /etc/init/systemd-agent.conf og /lib/systemd/system/sys-temd-agent.service oprettet for at aktivere malwaren, og selve den ondsindede eksekverbare fil blev placeret som / bin/systemd/systemd -daemon og /usr/lib/systemd/systemd-daemon (funktionalitet blev duplikeret i to filer). Når du kører som standardbruger, blev autostart-filen $HOME/.config/au-tostart/gnomehelper.desktop brugt, og der blev foretaget ændringer i .bashrc, og den eksekverbare fil blev gemt som $HOME/.gvfsd/.profile/gvfsd -helper og $HOME/ .dbus/sessions/session-dbus. Begge eksekverbare filer blev lanceret samtidigt, som hver overvågede tilstedeværelsen af den anden og gendannede den, hvis den blev afsluttet.
For at skjule resultaterne af deres aktiviteter i bagdøren, blev der brugt adskillige krypteringsalgoritmer, for eksempel blev AES brugt til at kryptere deres ressourcer, og en kombination af AES, XOR og ROTATE i kombination med komprimering ved hjælp af ZLIB blev brugt til at skjule kommunikationskanalen med kontrolserveren.
For at modtage kontrolkommandoer kontaktede malwaren 4 domæner via netværksport 443 (kommunikationskanalen brugte sin egen protokol, ikke HTTPS og TLS). Domænerne (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com og news.thaprior.net) blev registreret i 2015 og hostet af Kyiv-hostingudbyderen Deltahost. 12 grundlæggende funktioner blev integreret i bagdøren, som gjorde det muligt at indlæse og udføre plugins med avanceret funktionalitet, transmittere enhedsdata, opsnappe følsomme data og administrere lokale filer.
Kilde: opennet.ru