Das Forschungslabor 360 Netlab hat die Entdeckung einer neuen Malware für Linux, codenamed RotaJakiro, bekannt gegeben. Diese Malware enthält eine Implementierung eines Backdoors, das es Angreifern ermöglicht, Systeme zu kontrollieren. Die Malware könnte durch die Ausnutzung ungepatchter Schwachstellen oder durch das Erraten unsicherer Passwörter installiert worden sein.
Das Backdoor wurde während der Analyse verdächtigen Traffics eines der Systemprozesse entdeckt, die im Rahmen der Untersuchung der Botnet-Struktur, die für DDoS-Angriffe verwendet wird, identifiziert wurden. Zuvor war RotaJakiro über einen Zeitraum von drei Jahren unentdeckt geblieben; die ersten Überprüfungsversuche der Dateien mit MD5-Hashes, die mit der entdeckten Malware übereinstimmten, datieren auf Mai 2018.
RotaJakiro zeichnet sich durch den Einsatz unterschiedlicher Tarntechniken aus, wenn es mit den Rechten eines unprivilegierten Benutzers und Root gestartet wird. Um seine Präsenz zu verbergen, nutzte der Backdoor die Prozessnamen systemd-daemon, session-dbus und gvfsd-helper. Angesichts der Überlastung moderner Linux-Distributionen mit verschiedenen Dienstprozessen schienen diese zunächst legitim und erregten kein Misstrauen.
Beim Start mit Root-Rechten wurden Skripte unter /etc/init/systemd-agent.conf und /lib/systemd/system/systemd-agent.service erstellt. Die schädliche ausführbare Datei wurde sowohl als /bin/systemd/systemd-daemon als auch als /usr/lib/systemd/systemd-daemon abgelegt (die Funktionalität wurde in beiden Dateien dupliziert). Wenn sie mit den Rechten eines normalen Benutzers ausgeführt wurde, kam die Autostart-Datei $HOME/.config/autostart/gnomehelper.desktop zum Einsatz, es wurden Änderungen an .bashrc vorgenommen, während die ausführbare Datei als $HOME/.gvfsd/.profile/gvfsd-helper und $HOME/.dbus/sessions/session-dbus gespeichert wurde. Beide ausführbaren Dateien wurden gleichzeitig gestartet, wobei jede die andere überwachte und sie im Falle einer Beendigung wiederherstellte.
Mehrere Verschlüsselungsalgorithmen wurden verwendet, um die Ergebnisse seiner Aktivitäten im Backdoor zu verbergen. Zum Beispiel wurde AES zur Verschlüsselung seiner Ressourcen eingesetzt, während zur Verschleierung des Kommunikationskanals mit dem Steuerungsserver eine Kombination aus AES, XOR und ROTATE in Verbindung mit ZLIB-Kompression verwendet wurde. dem Server durch Die Kombination aus AES, XOR und ROTATE wurde zusammen mit der Kompression durch ZLIB eingesetzt.
Zur Abwicklung von Steuerbefehlen kontaktierte die Malware vier Domains über den Netzwerkport 443. Dabei kam ein eigener Protokoll zum Einsatz, nicht HTTPS oder TLS. Die Domains (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com und news.thaprior.net) wurden 2015 registriert und bei einem Kiewer Hosting-Anbieter gehostet. Hosting-Anbieter Deltahost. Im Backdoor waren 12 grundlegende Funktionen integriert, die das Herunterladen und Ausführen von Plugins mit erweiterten Funktionen ermöglichten, Geräteinformationen übertrugen, vertrauliche Daten abfingen und die Verwaltung lokaler Dateien ermöglichten.
Quelle: opennet.ru
