Le laboratoire de recherche 360 Netlab a signalé l'identification d'un nouveau malware pour Linux, nommé RotaJakiro et comprenant la mise en œuvre d'une porte dérobée qui permet de contrôler le système. Le logiciel malveillant pourrait avoir été installé par des attaquants après avoir exploité des vulnérabilités non corrigées du système ou après avoir deviné des mots de passe faibles.
La porte dérobée a été découverte lors de l'analyse du trafic suspect provenant de l'un des processus du système, identifié lors de l'analyse de la structure du botnet utilisé pour l'attaque DDoS. Avant cela, RotaJakiro est resté indétectable pendant trois ans ; en particulier, les premières tentatives d'analyse de fichiers avec des hachages MD5 correspondant au malware identifié dans le service VirusTotal remontaient à mai 2018.
L'une des caractéristiques de RotaJakiro est l'utilisation de différentes techniques de camouflage lors de l'exécution en tant qu'utilisateur et root non privilégié. Pour masquer sa présence, la porte dérobée a utilisé les noms de processus systemd-daemon, session-dbus et gvfsd-helper, qui, étant donné l'encombrement des distributions Linux modernes avec toutes sortes de processus de service, semblaient à première vue légitimes et n'éveillaient pas de soupçons.
Lorsqu'ils sont exécutés avec les droits root, les scripts /etc/init/systemd-agent.conf et /lib/systemd/system/sys-temd-agent.service ont été créés pour activer le malware, et le fichier exécutable malveillant lui-même se trouvait sous / bin/systemd/systemd -daemon et /usr/lib/systemd/systemd-daemon (la fonctionnalité a été dupliquée dans deux fichiers). Lors de l'exécution en tant qu'utilisateur standard, le fichier de démarrage automatique $HOME/.config/au-tostart/gnomehelper.desktop a été utilisé et des modifications ont été apportées à .bashrc, et le fichier exécutable a été enregistré sous $HOME/.gvfsd/.profile/gvfsd -helper et $HOME/ .dbus/sessions/session-dbus. Les deux fichiers exécutables ont été lancés simultanément, chacun surveillant la présence de l'autre et le restaurant s'il se terminait.
Pour masquer les résultats de leurs activités dans la porte dérobée, plusieurs algorithmes de cryptage ont été utilisés, par exemple, AES a été utilisé pour crypter leurs ressources, et une combinaison d'AES, XOR et ROTATE en combinaison avec une compression utilisant ZLIB a été utilisée pour masquer le canal de communication. avec le serveur de contrôle.
Pour recevoir des commandes de contrôle, le malware a contacté 4 domaines via le port réseau 443 (le canal de communication utilisait son propre protocole, et non HTTPS et TLS). Les domaines (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com et news.thaprior.net) ont été enregistrés en 2015 et hébergés par le fournisseur d'hébergement de Kiev Deltahost. 12 fonctions de base ont été intégrées dans la porte dérobée, qui ont permis de charger et d'exécuter des plugins dotés de fonctionnalités avancées, de transmettre des données sur l'appareil, d'intercepter des données sensibles et de gérer des fichiers locaux.
Source: opennet.ru