آزمایشگاه تحقیقاتی 360 Netlab شناسایی بدافزار جدیدی را برای لینوکس، با نام رمز RotaJakiro و شامل پیادهسازی یک درب پشتی که به شما امکان کنترل سیستم را میدهد، گزارش کرد. این بدافزار ممکن است توسط مهاجمان پس از سوء استفاده از آسیب پذیری های اصلاح نشده در سیستم یا حدس زدن رمزهای عبور ضعیف نصب شده باشد.
درب پشتی در هنگام تجزیه و تحلیل ترافیک مشکوک از یکی از فرآیندهای سیستم، شناسایی شده در طول تجزیه و تحلیل ساختار بات نت مورد استفاده برای حمله DDoS، کشف شد. قبل از این، RotaJakiro به مدت سه سال شناسایی نشده بود؛ به ویژه، اولین تلاشها برای اسکن فایلها با هش MD5 مطابق با بدافزار شناساییشده در سرویس VirusTotal به تاریخ می 2018 انجام شد.
یکی از ویژگی های RotaJakiro استفاده از تکنیک های مختلف استتار هنگام اجرا به عنوان یک کاربر غیرمجاز و روت است. درپشتی برای پنهان کردن حضور خود، از نامهای فرآیند systemd-daemon، session-dbus و gvfsd-helper استفاده کرد که با توجه به درهمتنیدگی توزیعهای لینوکس مدرن با انواع فرآیندهای خدماتی، در نگاه اول مشروع به نظر میرسید و شکی را برانگیخت.
هنگامی که با حقوق ریشه اجرا می شود، اسکریپت های /etc/init/systemd-agent.conf و /lib/systemd/system/sys-temd-agent.service برای فعال کردن بدافزار ایجاد می شوند و خود فایل اجرایی مخرب به عنوان / قرار می گیرد. bin/systemd/systemd -daemon و /usr/lib/systemd/systemd-daemon (عملکرد در دو فایل کپی شده بود). هنگام اجرا به عنوان یک کاربر استاندارد، از فایل شروع خودکار $HOME/.config/au-tostart/gnomehelper.desktop استفاده شد و تغییراتی در .bashrc ایجاد شد و فایل اجرایی به صورت $HOME/.gvfsd/.profile/gvfsd ذخیره شد. -helper و $HOME/ .dbus/sessions/session-dbus. هر دو فایل اجرایی به طور همزمان راه اندازی شدند، که هر کدام حضور دیگری را کنترل می کردند و در صورت پایان یافتن، آن را بازیابی می کردند.
برای مخفی کردن نتایج فعالیتهای آنها در درب پشتی، از چندین الگوریتم رمزگذاری استفاده شد، به عنوان مثال، از AES برای رمزگذاری منابع آنها و ترکیبی از AES، XOR و ROTATE در ترکیب با فشردهسازی با استفاده از ZLIB برای پنهان کردن کانال ارتباطی استفاده شد. با سرور کنترل
برای دریافت دستورات کنترلی، بدافزار از طریق پورت شبکه 4 با 443 دامنه تماس گرفت (کانال ارتباطی از پروتکل خود استفاده می کرد، نه HTTPS و TLS). دامنه ها (cdn.mirror-codes.net، status.sublineover.net، blog.eduelects.com و news.thaprior.net) در سال 2015 ثبت و توسط ارائه دهنده میزبانی کیف Deltahost میزبانی شدند. 12 عملکرد اساسی در درب پشتی ادغام شد که امکان بارگیری و اجرای پلاگین ها با عملکرد پیشرفته، انتقال داده های دستگاه، رهگیری داده های حساس و مدیریت فایل های محلی را فراهم می کرد.
منبع: opennet.ru