Undersykslaboratoarium 360 Netlab rapportearre de identifikaasje fan nije malware foar Linux, koadenamme RotaJakiro en ynklusyf de ymplemintaasje fan in efterdoar wêrmei jo it systeem kinne kontrolearje. De malware koe ynstalleare wurde troch oanfallers nei it eksploitearjen fan unpatched kwetsberens yn it systeem of it rieden fan swakke wachtwurden.
De efterdoar waard ûntdutsen tidens de analyze fan fertocht ferkear fan ien fan 'e systeemprosessen, identifisearre tidens analyze fan' e struktuer fan it botnet brûkt foar de DDoS-oanfal. Foarôfgeand bleau RotaJakiro trije jier net ûntdutsen; benammen de earste pogingen om bestannen te scannen mei MD5-hashes dy't oerienkomme mei de identifisearre malware yn 'e VirusTotal-tsjinst wiene datearre maaie 2018.
Ien fan 'e funksjes fan RotaJakiro is it brûken fan ferskate camouflage-techniken by it útfieren fan in unprivileged brûker en root. Om syn oanwêzigens te ferbergjen, brûkte de efterdoar de prosesnammen systemd-daemon, session-dbus en gvfsd-helper, dy't, sjoen de rommel fan moderne Linux-distribúsjes mei allerhanne tsjinstprosessen, op it earste each legitime like en gjin fertinking opwekke.
By it útfieren mei rootrjochten, waarden de skripts /etc/init/systemd-agent.conf en /lib/systemd/system/sys-temd-agent.service oanmakke om de malware te aktivearjen, en it kweade útfierbere bestân sels waard pleatst as / bin/systemd/systemd -daemon en /usr/lib/systemd/systemd-daemon (funksjonaliteit waard duplikearre yn twa bestannen). By it útfieren fan as standert brûker, waard it autostart-bestân $HOME/.config/au-tostart/gnomehelper.desktop brûkt en wizigingen makke oan .bashrc, en it útfierbere bestân waard bewarre as $HOME/.gvfsd/.profile/gvfsd -helper en $HOME/ .dbus/sessions/session-dbus. Beide útfierbere bestannen waarden tagelyk lansearre, wêrfan elk de oanwêzigens fan 'e oare kontrolearre en it weromsette as it beëinige.
Om de resultaten fan har aktiviteiten yn 'e efterdoar te ferbergjen, waarden ferskate fersiferingsalgoritmen brûkt, bygelyks AES waard brûkt om har boarnen te fersiferjen, en in kombinaasje fan AES, XOR en ROTATE yn kombinaasje mei kompresje mei ZLIB waard brûkt om it kommunikaasjekanaal te ferbergjen mei de kontrôle tsjinner.
Om kontrôlekommando's te ûntfangen, hat de malware kontakt 4-domeinen fia netwurkpoarte 443 (it kommunikaasjekanaal brûkte syn eigen protokol, net HTTPS en TLS). De domeinen (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com en news.thaprior.net) waarden registrearre yn 2015 en hosted troch de Kyiv hosting provider Deltahost. 12 basisfunksjes waarden yntegrearre yn 'e efterdoar, wêrtroch plugins mei avansearre funksjonaliteit laden en útfiere, apparaatgegevens ferstjoere, gefoelige gegevens ûnderskeppe en lokale bestannen beheare.
Boarne: opennet.ru