Laboratorium penelitian 360 Netlab melaporkan identifikasi malware baru untuk Linux, dengan nama kode RotaJakiro dan termasuk penerapan pintu belakang yang memungkinkan Anda mengontrol sistem. Malware tersebut mungkin dipasang oleh penyerang setelah mengeksploitasi kerentanan yang belum ditambal dalam sistem atau menebak kata sandi yang lemah.
Pintu belakang ditemukan selama analisis lalu lintas mencurigakan dari salah satu proses sistem, diidentifikasi selama analisis struktur botnet yang digunakan untuk serangan DDoS. Sebelumnya, RotaJakiro tetap tidak terdeteksi selama tiga tahun; khususnya, upaya pertama untuk memindai file dengan hash MD5 yang cocok dengan malware yang teridentifikasi dalam layanan VirusTotal dilakukan pada Mei 2018.
Salah satu fitur RotaJakiro adalah penggunaan teknik kamuflase yang berbeda saat dijalankan sebagai pengguna dan root yang tidak memiliki hak istimewa. Untuk menyembunyikan keberadaannya, pintu belakang menggunakan nama proses systemd-daemon, session-dbus dan gvfsd-helper, yang, mengingat kekacauan distribusi Linux modern dengan segala macam proses layanan, pada pandangan pertama tampak sah dan tidak menimbulkan kecurigaan.
Ketika dijalankan dengan hak root, skrip /etc/init/systemd-agent.conf dan /lib/systemd/system/sys-temd-agent.service dibuat untuk mengaktifkan malware, dan file berbahaya yang dapat dieksekusi itu sendiri terletak di / bin/systemd/systemd -daemon dan /usr/lib/systemd/systemd-daemon (fungsinya diduplikasi dalam dua file). Saat dijalankan sebagai pengguna standar, file autostart $HOME/.config/au-tostart/gnomehelper.desktop digunakan dan perubahan dilakukan pada .bashrc, dan file yang dapat dieksekusi disimpan sebagai $HOME/.gvfsd/.profile/gvfsd -helper dan $HOME/ .dbus/sessions/session-dbus. Kedua file yang dapat dieksekusi diluncurkan secara bersamaan, masing-masing memantau keberadaan file lain dan memulihkannya jika dihentikan.
Untuk menyembunyikan hasil aktivitas mereka di backdoor digunakan beberapa algoritma enkripsi, misalnya AES digunakan untuk mengenkripsi sumber dayanya, dan kombinasi AES, XOR dan ROTATE yang dikombinasikan dengan kompresi menggunakan ZLIB digunakan untuk menyembunyikan saluran komunikasi. dengan server kontrol.
Untuk menerima perintah kontrol, malware menghubungi 4 domain melalui port jaringan 443 (saluran komunikasi menggunakan protokolnya sendiri, bukan HTTPS dan TLS). Domain (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com, dan news.thaprior.net) didaftarkan pada tahun 2015 dan dihosting oleh penyedia hosting Kyiv, Deltahost. 12 fungsi dasar diintegrasikan ke dalam pintu belakang, yang memungkinkan memuat dan menjalankan plugin dengan fungsionalitas tingkat lanjut, mentransmisikan data perangkat, mencegat data sensitif, dan mengelola file lokal.
Sumber: opennet.ru