Tutkimuslaboratorio 360 Netlab raportoi uusien haittaohjelmien tunnistamisesta Linuxille, koodinimeltään RotaJakiro ja sisältäen järjestelmän hallinnan mahdollistavan takaoven toteutuksen. Hyökkääjät ovat saattaneet asentaa haittaohjelman hyödyntäessään järjestelmän korjaamattomia haavoittuvuuksia tai arvattuaan heikkoja salasanoja.
Takaovi löydettiin analysoitaessa epäilyttävää liikennettä yhdestä järjestelmäprosessista, joka tunnistettiin analysoitaessa DDoS-hyökkäykseen käytetyn bottiverkon rakennetta. Tätä ennen RotaJakiro pysyi havaitsemattomana kolme vuotta; erityisesti ensimmäiset yritykset skannata VirusTotal-palvelussa tunnistettuja haittaohjelmia vastaavia MD5-hajautustiedostoja tapahtuivat toukokuussa 2018.
Yksi RotaJakiron ominaisuuksista on erilaisten naamiointitekniikoiden käyttö, kun ajetaan etuoikeutettomana käyttäjänä ja pääkäyttäjänä. Piilottaakseen läsnäoloaan takaovi käytti prosessinimiä systemd-daemon, session-dbus ja gvfsd-helper, jotka nykyaikaisten Linux-jakelujen ja kaikenlaisten palveluprosessien sotkuisuuden vuoksi vaikuttivat ensi silmäyksellä oikeutetuilta eivätkä herättäneet epäilyksiä.
Kun ajettiin pääkäyttäjän oikeuksilla, komentosarjat /etc/init/systemd-agent.conf ja /lib/systemd/system/sys-temd-agent.service luotiin haittaohjelman aktivoimiseksi, ja itse haitallinen suoritettava tiedosto sijaitsi nimellä / bin/systemd/systemd -daemon ja /usr/lib/systemd/systemd-daemon (toiminnallisuus kopioitiin kahteen tiedostoon). Kun ajettiin tavallisena käyttäjänä, käytettiin automaattisesti käynnistystiedostoa $HOME/.config/au-tostart/gnomehelper.desktop ja tehtiin muutoksia tiedostoon .bashrc, ja suoritettava tiedosto tallennettiin nimellä $HOME/.gvfsd/.profile/gvfsd. -helper ja $HOME/.dbus/sessions/session-dbus. Molemmat suoritettavat tiedostot käynnistettiin samanaikaisesti, joista jokainen seurasi toisen läsnäoloa ja palautti sen, jos se päättyi.
Toimintansa tulosten piilottamiseen takaovessa käytettiin useita salausalgoritmeja, esimerkiksi AES:ää käytettiin resurssien salaamiseen, ja AES:n, XOR:n ja ROTATE:n yhdistelmää yhdessä ZLIB:n avulla tapahtuvan pakkauksen kanssa käytettiin viestintäkanavan piilottamiseen. ohjauspalvelimen kanssa.
Ohjauskomentojen vastaanottamiseksi haittaohjelma otti yhteyttä 4 verkkotunnukseen verkkoportin 443 kautta (viestintäkanava käytti omaa protokollaan, ei HTTPS:ää ja TLS:ää). Verkkotunnukset (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ja news.thaprior.net) rekisteröitiin vuonna 2015, ja niitä isännöi Kiovan hosting-palveluntarjoaja Deltahost. Takaoveen integroitiin 12 perustoimintoa, jotka mahdollistivat lisätoimintojen lataamisen ja suorittamisen, laitetietojen siirron, arkaluontoisten tietojen sieppaamisen ja paikallisten tiedostojen hallinnan.
Lähde: opennet.ru