O laboratorio de investigación 360 Netlab informou da identificación de novo malware para Linux, co nome en clave RotaJakiro e que inclúe a implementación dunha porta traseira que permite controlar o sistema. O malware puido ser instalado por atacantes despois de explotar vulnerabilidades sen parches do sistema ou adiviñar contrasinais débiles.
A porta traseira foi descuberta durante a análise do tráfico sospeitoso dun dos procesos do sistema, identificado durante a análise da estrutura da botnet utilizada para o ataque DDoS. Antes disto, RotaJakiro permaneceu sen ser detectado durante tres anos; en particular, os primeiros intentos de dixitalizar ficheiros con hash MD5 que coincidan co malware identificado no servizo VirusTotal dataron de maio de 2018.
Unha das características de RotaJakiro é o uso de diferentes técnicas de camuflaxe cando se executa como usuario e root sen privilexios. Para ocultar a súa presenza, a porta traseira utilizou os nomes de procesos systemd-daemon, session-dbus e gvfsd-helper que, dado o desorde das modernas distribucións de Linux con todo tipo de procesos de servizo, a primeira vista parecían lexítimos e non espertaban sospeitas.
Cando se executa con dereitos de root, os scripts /etc/init/systemd-agent.conf e /lib/systemd/system/sys-temd-agent.service creáronse para activar o malware e o propio ficheiro executable malicioso localizouse como / bin/systemd/systemd -daemon e /usr/lib/systemd/systemd-daemon (a funcionalidade duplicouse en dous ficheiros). Cando se executa como usuario estándar, utilizouse o ficheiro de inicio automático $HOME/.config/au-tostart/gnomehelper.desktop e fixéronse cambios en .bashrc, e o ficheiro executable gardouse como $HOME/.gvfsd/.profile/gvfsd -helper e $HOME/ .dbus/sessions/session-dbus. Os dous ficheiros executables lanzáronse simultáneamente, cada un dos cales supervisaba a presenza do outro e restaurábase no caso de finalizar.
Para ocultar os resultados das súas actividades na porta traseira, utilizáronse varios algoritmos de cifrado, por exemplo, utilizouse AES para cifrar os seus recursos e utilizouse unha combinación de AES, XOR e ROTATE en combinación coa compresión mediante ZLIB para ocultar a canle de comunicación. co servidor de control.
Para recibir comandos de control, o malware contactou con 4 dominios a través do porto de rede 443 (a canle de comunicación utilizaba o seu propio protocolo, non HTTPS e TLS). Os dominios (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com e news.thaprior.net) rexistráronse en 2015 e aloxáronse polo provedor de hospedaxe de Kiev Deltahost. Na porta traseira integráronse 12 funcións básicas, que permitían cargar e executar complementos con funcionalidades avanzadas, transmitir datos do dispositivo, interceptar datos sensibles e xestionar ficheiros locais.
Fonte: opennet.ru