Rannsóknarstofa 360 Netlab tilkynnti um auðkenningu á nýjum spilliforritum fyrir Linux, með kóðanafninu RotaJakiro og þar á meðal innleiðingu á bakdyrum sem gerir þér kleift að stjórna kerfinu. Spilliforritið gæti hafa verið sett upp af árásarmönnum eftir að hafa nýtt sér óuppfærða veikleika í kerfinu eða giskað á veik lykilorð.
Bakdyrnar fundust við greiningu á grunsamlegri umferð frá einu af kerfisferlunum, sem greindist við greiningu á uppbyggingu botnetsins sem notað var fyrir DDoS árásina. Fyrir þetta var RotaJakiro ófundinn í þrjú ár; einkum voru fyrstu tilraunir til að skanna skrár með MD5 kjötkássa sem passa við auðkennda spilliforritið í VirusTotal þjónustunni dagsettar í maí 2018.
Einn af eiginleikum RotaJakiro er notkun mismunandi felulituraðferða þegar keyrt er sem óforréttur notandi og rót. Til að fela nærveru sína notaði bakdyrnar ferlinöfnin systemd-daemon, session-dbus og gvfsd-helper, sem, miðað við ringulreið í nútíma Linux dreifingum með alls kyns þjónustuferlum, virtust við fyrstu sýn lögmæt og vöktu ekki tortryggni.
Þegar keyrt var með rótarréttindi voru forskriftirnar /etc/init/systemd-agent.conf og /lib/systemd/system/sys-temd-agent.service búnar til til að virkja spilliforritið og illgjarn keyrsluskráin sjálf var staðsett sem / bin/systemd/systemd -daemon og /usr/lib/systemd/systemd-daemon (virkni var afrituð í tveimur skrám). Þegar keyrt var sem venjulegur notandi var sjálfvirk ræsingarskráin $HOME/.config/au-tostart/gnomehelper.desktop notuð og breytingar gerðar á .bashrc og keyrsluskráin var vistuð sem $HOME/.gvfsd/.profile/gvfsd -helper og $HOME/ .dbus/sessions/session-dbus. Báðar keyrsluskrárnar voru ræstar samtímis, sem hver um sig fylgdist með tilvist hinnar og endurheimti hana ef hún hætti.
Til að fela niðurstöður athafna þeirra í bakdyrunum voru nokkrir dulkóðunaralgrím notaðir, til dæmis var AES notað til að dulkóða auðlindir þeirra og samsetning af AES, XOR og ROTATE ásamt þjöppun með ZLIB var notuð til að fela samskiptarásina. með stýriþjóninum.
Til að taka á móti stjórnskipunum hafði spilliforritið samband við 4 lén í gegnum netgátt 443 (samskiptarásin notaði sína eigin samskiptareglur, ekki HTTPS og TLS). Lénin (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com og news.thaprior.net) voru skráð árið 2015 og hýst af Kyiv hýsingarveitunni Deltahost. 12 grunnaðgerðir voru samþættar í bakdyrnar, sem gerði kleift að hlaða og keyra viðbætur með háþróaðri virkni, senda tækisgögn, stöðva viðkvæm gögn og stjórna staðbundnum skrám.
Heimild: opennet.ru