研究機関 360 Netlab は、システムの制御を可能にするバックドアの実装を含む、コード名 RotaJakiro という Linux 用の新しいマルウェアを特定したと報告しました。 このマルウェアは、システム内のパッチが適用されていない脆弱性を悪用したり、脆弱なパスワードを推測したりした後、攻撃者によってインストールされた可能性があります。
このバックドアは、システム プロセスの 5 つからの不審なトラフィックの分析中に発見され、DDoS 攻撃に使用されたボットネットの構造の分析中に特定されました。 これに先立ち、RotaJakiro は 2018 年間検出されませんでした。特に、VirusTotal サービスで特定されたマルウェアと一致する MDXNUMX ハッシュを持つファイルのスキャンが最初に試みられたのは XNUMX 年 XNUMX 月でした。
RotaJakiro の特徴の XNUMX つは、特権のないユーザーおよび root として実行するときにさまざまなカモフラージュ技術を使用することです。 その存在を隠すために、バックドアは systemd-daemon、session-dbus、gvfsd-helper というプロセス名を使用していました。最新の Linux ディストリビューションにあらゆる種類のサービス プロセスが乱雑に存在していることを考慮すると、これらは一見正当であるように見え、疑いを引き起こすものではありませんでした。
root 権限で実行すると、スクリプト /etc/init/systemd-agent.conf および /lib/systemd/system/sys-temd-agent.service がマルウェアをアクティブ化するために作成され、悪意のある実行可能ファイル自体は / として配置されます。 bin/systemd/systemd -daemon および /usr/lib/systemd/systemd-daemon (機能は XNUMX つのファイルに重複しています)。 標準ユーザーとして実行する場合、自動起動ファイル $HOME/.config/au-tostart/gnomehelper.desktop が使用され、.bashrc に変更が加えられ、実行可能ファイルは $HOME/.gvfsd/.profile/gvfsd として保存されました。 -helper および $HOME/.dbus/sessions/session-dbus。 両方の実行可能ファイルが同時に起動され、それぞれがもう一方の存在を監視し、終了した場合にはそれを復元しました。
バックドアでのアクティビティの結果を隠すために、いくつかの暗号化アルゴリズムが使用されました。たとえば、AES を使用してリソースを暗号化し、AES、XOR、ROTATE と ZLIB を使用した圧縮の組み合わせを使用して通信チャネルを隠しました。コントロールサーバーと。
制御コマンドを受信するために、マルウェアはネットワーク ポート 4 経由で 443 つのドメインに接続しました (通信チャネルでは HTTPS や TLS ではなく、独自のプロトコルが使用されました)。 ドメイン (cdn.mirror-codes.net、status.sublineover.net、blog.eduelects.com、news.thaprior.net) は 2015 年に登録され、キエフのホスティング プロバイダー Deltahost によってホストされています。 12 の基本機能がバックドアに統合されており、高度な機能を備えたプラグインのロードと実行、デバイス データの送信、機密データの傍受、ローカル ファイルの管理が可能になりました。
出所: オープンネット.ru