Das Forschungslabor 360 Netlab berichtete über die Identifizierung neuer Malware für Linux mit dem Codenamen RotaJakiro und der Implementierung einer Hintertür, mit der Sie das System steuern können. Die Malware könnte von Angreifern installiert worden sein, nachdem sie ungepatchte Schwachstellen im System ausgenutzt oder schwache Passwörter erraten hatten.
Die Hintertür wurde bei der Analyse des verdächtigen Datenverkehrs von einem der Systemprozesse entdeckt, der bei der Analyse der Struktur des für den DDoS-Angriff verwendeten Botnetzes identifiziert wurde. Zuvor blieb RotaJakiro drei Jahre lang unentdeckt; insbesondere datierten die ersten Versuche, Dateien mit MD5-Hashes zu scannen, die mit der identifizierten Malware im VirusTotal-Dienst übereinstimmten, auf Mai 2018.
Eines der Features von RotaJakiro ist die Verwendung verschiedener Tarntechniken bei der Ausführung als unprivilegierter Benutzer und Root. Um ihre Präsenz zu verbergen, verwendete die Hintertür die Prozessnamen systemd-daemon, session-dbus und gvfsd-helper, was angesichts der Unordnung moderner Linux-Distributionen mit allen möglichen Dienstprozessen auf den ersten Blick legitim erschien und keinen Verdacht erregte.
Bei der Ausführung mit Root-Rechten wurden die Skripte /etc/init/systemd-agent.conf und /lib/systemd/system/sys-temd-agent.service erstellt, um die Malware zu aktivieren, und die schädliche ausführbare Datei selbst befand sich als / bin/systemd/systemd -daemon und /usr/lib/systemd/systemd-daemon (Funktionalität wurde in zwei Dateien dupliziert). Bei der Ausführung als Standardbenutzer wurde die Autostart-Datei $HOME/.config/au-tostart/gnomehelper.desktop verwendet und Änderungen an .bashrc vorgenommen, und die ausführbare Datei wurde als $HOME/.gvfsd/.profile/gvfsd gespeichert -helper und $HOME/ .dbus/sessions/session-dbus. Beide ausführbaren Dateien wurden gleichzeitig gestartet, wobei jede die Anwesenheit der anderen überwachte und sie bei Beendigung wiederherstellte.
Um die Ergebnisse ihrer Aktivitäten in der Hintertür zu verbergen, wurden mehrere Verschlüsselungsalgorithmen verwendet, zum Beispiel wurde AES zur Verschlüsselung ihrer Ressourcen verwendet, und eine Kombination aus AES, XOR und ROTATE in Kombination mit Komprimierung mithilfe von ZLIB wurde verwendet, um den Kommunikationskanal zu verbergen mit dem Steuerungsserver.
Um Steuerbefehle zu empfangen, kontaktierte die Malware vier Domänen über den Netzwerkport 4 (der Kommunikationskanal verwendete ein eigenes Protokoll, nicht HTTPS und TLS). Die Domains (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com und news.thaprior.net) wurden 443 registriert und vom Kiewer Hosting-Anbieter Deltahost gehostet. In die Hintertür wurden 2015 Grundfunktionen integriert, die das Laden und Ausführen von Plugins mit erweiterter Funktionalität, die Übertragung von Gerätedaten, das Abfangen sensibler Daten und die Verwaltung lokaler Dateien ermöglichten.
Source: opennet.ru