A 360 Netlab kutatólaboratórium új, RotaJakiro kódnevű rosszindulatú program azonosításáról számolt be a Linux számára, és egy hátsó ajtót is tartalmazott, amely lehetővé teszi a rendszer vezérlését. A rosszindulatú programot a támadók telepíthették, miután kihasználták a rendszer kijavítatlan biztonsági réseit vagy gyenge jelszavakat találtak ki.
A hátsó ajtót az egyik rendszerfolyamat gyanús forgalmának elemzése során fedezték fel, amelyet a DDoS támadáshoz használt botnet szerkezetének elemzése során azonosítottak. Ezt megelőzően a RotaJakiro három évig észrevétlen maradt; különösen a VirusTotal szolgáltatásban az azonosított rosszindulatú programnak megfelelő MD5-kivonatokkal rendelkező fájlok vizsgálatára tett első kísérletek 2018 májusában történtek.
A RotaJakiro egyik jellemzője a különböző álcázási technikák alkalmazása, amikor privilegizált felhasználóként és rootként fut. Jelenlétének elrejtésére a backdoor a systemd-daemon, session-dbus és gvfsd-helper folyamatneveket használta, ami a modern Linux disztribúciók mindenféle szolgáltatási folyamatokkal való zsúfoltságát tekintve első pillantásra jogosnak tűnt, és nem keltett gyanút.
Amikor root jogokkal fut, az /etc/init/systemd-agent.conf és /lib/systemd/system/sys-temd-agent.service szkriptek létrejöttek a kártevő aktiválására, és maga a rosszindulatú végrehajtható fájl a / bin/systemd/systemd -daemon és /usr/lib/systemd/systemd-daemon (a funkcionalitás két fájlban megkettőződött). Normál felhasználóként való futtatáskor a $HOME/.config/au-tostart/gnomehelper.desktop automatikusan induló fájlt használták, és módosították a .bashrc fájlt, és a végrehajtható fájlt $HOME/.gvfsd/.profile/gvfsd néven mentette. -helper és $HOME/ .dbus/sessions/session-dbus. Mindkét végrehajtható fájl egyszerre indult el, amelyek mindegyike figyelte a másik jelenlétét, és visszaállította, ha leállt.
Tevékenységük eredményének a hátsó ajtóban való elrejtésére számos titkosítási algoritmust használtak, például AES-t használtak az erőforrásaik titkosításához, az AES, XOR és ROTATE kombinációját pedig ZLIB-t használó tömörítéssel kombinálva a kommunikációs csatorna elrejtésére. a vezérlő szerverrel.
A vezérlőparancsok fogadásához a kártevő 4 tartományhoz lépett kapcsolatba a 443-as hálózati porton keresztül (a kommunikációs csatorna saját protokollt használt, nem HTTPS-t és TLS-t). A domaineket (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com és news.thaprior.net) 2015-ben regisztrálták, és a kijevi Deltahost tárhelyszolgáltató üzemeltette őket. 12 alapvető funkciót integráltak a hátsó ajtóba, amelyek lehetővé tették a fejlett funkcionalitással rendelkező bővítmények betöltését és végrehajtását, az eszközadatok továbbítását, az érzékeny adatok elfogását és a helyi fájlok kezelését.
Forrás: opennet.ru