Esplorlaboratorio 360 Netlab raportis la identigon de nova malware por Linukso, kodita RotaJakiro kaj inkluzive de la efektivigo de malantaŭa pordo kiu permesas vin kontroli la sistemon. La malbon-varo povus esti instalita de atakantoj post ekspluatado de neflakitaj vundeblecoj en la sistemo aŭ divenado de malfortaj pasvortoj.
La malantaŭa pordo estis malkovrita dum la analizo de suspektinda trafiko de unu el la sistemaj procezoj, identigitaj dum analizo de la strukturo de la botneto uzata por la DDoS-atako. Antaŭ tio, RotaJakiro restis nerimarkita dum tri jaroj; precipe, la unuaj provoj skani dosierojn kun MD5-haŝiŝoj kongruaj kun la identigita malware en la servo VirusTotal estis datitaj en majo 2018.
Unu el la trajtoj de RotaJakiro estas la uzo de malsamaj kamuflaj teknikoj kiam kuras kiel senprivilegia uzanto kaj radiko. Por kaŝi sian ĉeeston, la malantaŭa pordo uzis la proceznomojn systemd-daemon, session-dbus kaj gvfsd-helper, kiuj, pro la malordo de modernaj Linuksaj distribuoj kun ĉiaj servaj procezoj, unuavide ŝajnis legitimaj kaj ne vekis suspekton.
Kiam ruliĝis kun radikrajtoj, la skriptoj /etc/init/systemd-agent.conf kaj /lib/systemd/system/sys-temd-agent.service estis kreitaj por aktivigi la malbon-programon, kaj la malica rulebla dosiero mem troviĝis kiel / bin/systemd/systemd -daemon kaj /usr/lib/systemd/systemd-daemon (funkcio estis duobligita en du dosieroj). Dum funkciado kiel norma uzanto, la aŭtostartdosiero $HOME/.config/au-tostart/gnomehelper.desktop estis uzata kaj ŝanĝoj estis faritaj al .bashrc, kaj la rulebla dosiero estis konservita kiel $HOME/.gvfsd/.profile/gvfsd -helper kaj $HOME/ .dbus/sessions/session-dbus. Ambaŭ ruleblaj dosieroj estis lanĉitaj samtempe, ĉiu el kiuj monitoris la ĉeeston de la alia kaj restarigis ĝin se ĝi finiĝis.
Por kaŝi la rezultojn de iliaj agadoj en la malantaŭa pordo, pluraj ĉifradalgoritmoj estis uzitaj, ekzemple, AES estis uzita por ĉifri iliajn resursojn, kaj kombinaĵo de AES, XOR kaj ROTATE en kombinaĵo kun kunpremado uzanta ZLIB estis uzita por kaŝi la komunikadkanalon. kun la kontrolservilo.
Por ricevi kontrolkomandojn, la malware kontaktis 4 domajnojn per reta haveno 443 (la komunika kanalo uzis sian propran protokolon, ne HTTPS kaj TLS). La domajnoj (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com kaj news.thaprior.net) estis registritaj en 2015 kaj gastigitaj de la Kyiv-gastiga provizanto Deltahost. 12 bazaj funkcioj estis integritaj al la malantaŭa pordo, kio permesis ŝarĝi kaj efektivigi kromaĵojn kun altnivela funkcieco, elsendante aparatajn datumojn, kapti sentemajn datumojn kaj administri lokajn dosierojn.
fonto: opennet.ru