El laboratorio de investigación 360 Netlab informó de la identificación de un nuevo malware para Linux, cuyo nombre en código es RotaJakiro y que incluye la implementación de una puerta trasera que permite controlar el sistema. Los atacantes podrían haber instalado el malware después de explotar vulnerabilidades no parcheadas en el sistema o adivinar contraseñas débiles.
La puerta trasera fue descubierta durante el análisis del tráfico sospechoso de uno de los procesos del sistema, identificado durante el análisis de la estructura de la botnet utilizada para el ataque DDoS. Antes de esto, RotaJakiro pasó desapercibido durante tres años; en particular, los primeros intentos de escanear archivos con hashes MD5 que coincidieran con el malware identificado en el servicio VirusTotal datan de mayo de 2018.
Una de las características de RotaJakiro es el uso de diferentes técnicas de camuflaje cuando se ejecuta como usuario sin privilegios y root. Para ocultar su presencia, la puerta trasera utilizó los nombres de proceso systemd-daemon, session-dbus y gvfsd-helper, que, dada la confusión de las distribuciones modernas de Linux con todo tipo de procesos de servicio, a primera vista parecían legítimos y no despertaron sospechas.
Cuando se ejecuta con derechos de root, los scripts /etc/init/systemd-agent.conf y /lib/systemd/system/sys-temd-agent.service se crearon para activar el malware, y el archivo ejecutable malicioso se ubicó como / bin/systemd/systemd -daemon y /usr/lib/systemd/systemd-daemon (la funcionalidad se duplicó en dos archivos). Cuando se ejecutaba como usuario estándar, se utilizó el archivo de inicio automático $HOME/.config/au-tostart/gnomehelper.desktop y se realizaron cambios en .bashrc, y el archivo ejecutable se guardó como $HOME/.gvfsd/.profile/gvfsd -helper y $HOME/ .dbus/sessions/session-dbus. Ambos archivos ejecutables se iniciaron simultáneamente, cada uno de los cuales monitoreó la presencia del otro y lo restauró si terminaba.
Para ocultar los resultados de sus actividades en la puerta trasera, se utilizaron varios algoritmos de cifrado, por ejemplo, se utilizó AES para cifrar sus recursos y una combinación de AES, XOR y ROTATE en combinación con compresión mediante ZLIB para ocultar el canal de comunicación. con el servidor de control.
Para recibir comandos de control, el malware contactó con 4 dominios a través del puerto de red 443 (el canal de comunicación utilizó su propio protocolo, no HTTPS ni TLS). Los dominios (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com y news.thaprior.net) se registraron en 2015 y fueron alojados por el proveedor de hosting de Kiev, Deltahost. Se integraron 12 funciones básicas en la puerta trasera, lo que permitió cargar y ejecutar complementos con funcionalidad avanzada, transmitir datos del dispositivo, interceptar datos confidenciales y administrar archivos locales.
Fuente: opennet.ru