آزمایشگاه تحقیقاتی ۳۶۰ Netlab از کشف بدافزار جدیدی برای ... خبر داد. Linuxبا نام رمز RotaJakiro، که شامل یک در پشتی است که امکان کنترل سیستم را فراهم میکند. این بدافزار میتواند توسط مهاجمانی که از آسیبپذیریهای وصله نشده در سیستم سوءاستفاده میکنند یا با استفاده از روش جستجوی فراگیر (brute-forcing) رمزهای عبور ضعیف، نصب شده باشد.
این درِ پشتی طی تجزیه و تحلیل ترافیک مشکوک از یک فرآیند سیستمی که در حین جداسازی قطعات یک باتنت مورد استفاده برای حمله DDoS کشف شده بود، کشف شد. پیش از این، RotaJakiro به مدت سه سال ناشناخته باقی مانده بود. به طور خاص، اولین تلاشها برای اسکن فایلها با هشهای MD5 مطابق با بدافزار شناسایی شده در VirusTotal در ماه مه ۲۰۱۸ انجام شد.
ویژگیهای متمایز RotaJakiro شامل استفاده از تکنیکهای مختلف استتار هنگام اجرا به عنوان یک کاربر غیرمجاز و ریشه است. برای پنهان کردن حضور خود، این درِ پشتی از نامهای فرآیند systemd-daemon، session-dbus و gvfsd-helper استفاده کرده است که با توجه به شلوغی توزیعهای مدرن، Linux انواع و اقسام فرآیندهای رسمی، در نگاه اول مشروع به نظر میرسیدند و سوءظنی ایجاد نمیکردند.
وقتی با امتیازات ریشه اجرا میشد، اسکریپتهای /etc/init/systemd-agent.conf و /lib/systemd/system/sys-temd-agent.service برای فعال کردن بدافزار ایجاد میشدند و خود فایل اجرایی مخرب در مسیرهای /bin/systemd/systemd-daemon و /usr/lib/systemd/systemd-daemon قرار داشت (این قابلیت در هر دو فایل کپی شده بود). وقتی با امتیازات کاربر استاندارد اجرا میشد، از فایل شروع خودکار $HOME/.config/au-tostart/gnomehelper.desktop استفاده میشد، تغییراتی در .bashrc ایجاد میشد و فایل اجرایی با نامهای $HOME/.gvfsd/.profile/gvfsd-helper و $HOME/.dbus/sessions/session-dbus ذخیره میشد. هر دو فایل اجرایی به طور همزمان اجرا میشدند و هر کدام حضور دیگری را زیر نظر داشت و در صورت خاتمه یافتن، آن را بازیابی میکرد.
برای پنهان کردن نتایج فعالیتهایش، این درِ پشتی از چندین الگوریتم رمزگذاری استفاده میکرد، برای مثال، از AES برای رمزگذاری منابعش و برای پنهان کردن کانال ارتباطی با کنترل استفاده میکرد. سرور ترکیبی از AES، XOR و ROTATE به همراه فشردهسازی با استفاده از ZLIB.
برای دریافت دستورات کنترل، این بدافزار از طریق پورت شبکه ۴۴۳ به چهار دامنه دسترسی پیدا کرد (کانال ارتباطی از پروتکل مخصوص به خود استفاده میکرد، نه HTTPS یا TLS). این دامنهها (cdn.mirror-codes.net، status.sublineover.net، blog.eduelects.com و news.thaprior.net) در سال ۲۰۱۵ ثبت شده و توسط شرکت مستقر در کیف میزبانی میشدند. ارائه دهنده هاستینگ دلتاهاست. این درِ پشتی ۱۲ تابع اساسی را در خود جای داده بود که به آن اجازه میداد افزونههایی با قابلیتهای پیشرفته را بارگیری و اجرا کند، دادههای دستگاه را منتقل کند، دادههای حساس را رهگیری کند و فایلهای محلی را مدیریت کند.
منبع: opennet.ru
