Il laboratorio di ricerca 360 Netlab ha segnalato l'identificazione di un nuovo malware per Linux, nome in codice RotaJakiro e comprendente l'implementazione di una backdoor che consente di controllare il sistema. Il malware potrebbe essere stato installato dagli aggressori dopo aver sfruttato le vulnerabilità senza patch del sistema o aver indovinato password deboli.
La backdoor è stata scoperta durante l'analisi del traffico sospetto proveniente da uno dei processi di sistema, individuato durante l'analisi della struttura della botnet utilizzata per l'attacco DDoS. Prima di ciò, RotaJakiro non era stato rilevato per tre anni; in particolare, i primi tentativi di scansione di file con hash MD5 corrispondenti al malware identificato nel servizio VirusTotal risalivano a maggio 2018.
Una delle caratteristiche di RotaJakiro è l'uso di diverse tecniche di mimetizzazione quando si esegue come utente non privilegiato e root. Per nascondere la sua presenza, la backdoor ha utilizzato i nomi di processo systemd-daemon, session-dbus e gvfsd-helper, che, data la confusione delle moderne distribuzioni Linux con tutti i tipi di processi di servizio, a prima vista sembravano legittimi e non destavano sospetti.
Se eseguiti con i diritti di root, gli script /etc/init/systemd-agent.conf e /lib/systemd/system/sys-temd-agent.service venivano creati per attivare il malware e il file eseguibile dannoso stesso veniva posizionato come / bin/systemd/systemd -daemon e /usr/lib/systemd/systemd-daemon (la funzionalità è stata duplicata in due file). Durante l'esecuzione come utente standard, è stato utilizzato il file di avvio automatico $HOME/.config/au-tostart/gnomehelper.desktop e sono state apportate modifiche a .bashrc e il file eseguibile è stato salvato come $HOME/.gvfsd/.profile/gvfsd -helper e $HOME/ .dbus/sessions/session-dbus. Entrambi i file eseguibili venivano avviati contemporaneamente, ciascuno dei quali monitorava la presenza dell'altro e lo ripristinava se terminava.
Per nascondere i risultati delle loro attività nella backdoor, sono stati utilizzati diversi algoritmi di crittografia, ad esempio AES è stato utilizzato per crittografare le loro risorse e una combinazione di AES, XOR e ROTATE in combinazione con la compressione utilizzando ZLIB è stata utilizzata per nascondere il canale di comunicazione con il server di controllo.
Per ricevere comandi di controllo, il malware ha contattato 4 domini tramite la porta di rete 443 (il canale di comunicazione utilizzava il proprio protocollo, non HTTPS e TLS). I domini (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com e news.thaprior.net) sono stati registrati nel 2015 e ospitati dal provider di hosting di Kiev Deltahost. Nella backdoor sono state integrate 12 funzioni base, che permettevano di caricare ed eseguire plugin con funzionalità avanzate, trasmettere dati del dispositivo, intercettare dati sensibili e gestire file locali.
Fonte: opennet.ru