Ikerketa laborategiak 360 Netlab-ek Linux-erako malware berriaren identifikazioa jakinarazi zuen, RotaJakiro kode izenarekin eta sistema kontrolatzeko aukera ematen duen atzeko ate baten ezarpena barne. Malwarea erasotzaileek instalatu ahal izan zuten sisteman adabakirik gabeko ahultasunak ustiatu ondoren edo pasahitz ahulak asmatu ondoren.
Atzeko atea sistemako prozesuetako baten trafiko susmagarriaren azterketan aurkitu zen, DDoS erasorako erabilitako botnetaren egitura aztertzean identifikatu zen. Aurretik, RotaJakiro hiru urtez egon zen detektatu gabe; bereziki, VirusTotal zerbitzuan identifikatutako malwarearekin bat datozen MD5 hashekin fitxategiak eskaneatzeko lehen saiakerak 2018ko maiatzean izan ziren.
RotaJakiroren ezaugarrietako bat kamuflaje teknika desberdinak erabiltzea da pribilegiorik gabeko erabiltzaile eta root gisa exekutatzen denean. Bere presentzia ezkutatzeko, backdoor-ek systemd-daemon, session-dbus eta gvfsd-helper prozesu izenak erabili zituen, zeinak, Linux-en banaketa modernoak zerbitzu prozesu mota guztietako nahasmena ikusita, lehen begiratuan zilegia zirudien eta ez zuen susmoa pizten.
Erro-eskubideekin exekutatzen direnean, /etc/init/systemd-agent.conf eta /lib/systemd/system/sys-temd-agent.service script-ak sortu ziren malwarea aktibatzeko, eta fitxategi exekutagarri gaiztoa bera / honela kokatu zen. bin/systemd/systemd -daemon eta /usr/lib/systemd/systemd-daemon (funtzionalitatea bi fitxategitan bikoiztu zen). Erabiltzaile estandar gisa exekutatzen ari zarenean, $HOME/.config/au-tostart/gnomehelper.desktop abiarazteko fitxategia erabili zen eta .bashrc-en aldaketak egin ziren, eta fitxategi exekutagarria $HOME/.gvfsd/.profile/gvfsd gisa gorde zen. -helper eta $HOME/ .dbus/sessions/session-dbus. Bi fitxategi exekutagarriak aldi berean abiarazi ziren, bakoitzak bestearen presentzia kontrolatzen zuen eta amaitzen bazen leheneratu egiten zuen.
Atzeko ateko jardueren emaitzak ezkutatzeko, hainbat enkriptazio-algoritmo erabili ziren, adibidez, AES erabili zen baliabideak enkriptatzeko, eta AES, XOR eta ROTATE konbinazio bat ZLIB erabiliz konpresioarekin konbinatuta komunikazio kanala ezkutatzeko. kontrol zerbitzariarekin.
Kontrol-aginduak jasotzeko, malwarea 4 domeinurekin harremanetan jarri zen sareko 443 atakaren bidez (komunikazio-kanalak bere protokoloa erabiltzen zuen, ez HTTPS eta TLS). Domeinuak (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com eta news.thaprior.net) 2015ean erregistratu ziren eta Deltahost Kyiv hosting hornitzaileak ostatatutakoak izan ziren. Oinarrizko 12 funtzio integratu ziren atzeko atean, eta horri esker, funtzionalitate aurreratudun pluginak kargatu eta exekutatu, gailuaren datuak transmititu, datu sentikorrak atzematea eta tokiko fitxategiak kudeatu.
Iturria: opennet.ru